Título Quinto. Políticas para el manejo de información

Volver Volver

Libro Tercero

  • Presione Enter para buscar

Capítulo Único. Políticas y Auditoría

Artículo 3.5.1.1.- Políticas de seguridad de la información. Aprobado por Resolución No. 2023 de 2008 de la Superintendencia Financiera de Colombia. Modificado por Resolución No. 0282 de 2021 de la Superintendencia Financiera de Colombia. Modificado por Resolución No. 1070 de 2023 de la Superintendencia Financiera de Colombia. Las políticas y directrices de seguridad de la información y ciberseguridad tienen por objeto proteger a la Bolsa de amenazas, a fin de garantizar la confidencialidad, integridad y disponibilidad de la información, así como el suministro de información oportuna y fidedigna de las posturas, operaciones y, en general, de los mercados administrados, minimizar los riesgos de daño y asegurar el eficaz cumplimiento de los objetivos de la Bolsa.

La Política de Seguridad de la Información y Ciberseguridad, las directrices y procedimientos que sean divulgados por la Bolsa a través de Circulares e Instructivos Operativos serán de obligatoria observación por parte de las sociedades comisionistas miembros de la Bolsa, de las personas vinculadas a éstas y los funcionarios de la Bolsa.

Parágrafo: La seguridad de la información, la protección de las bases de datos, la protección de los datos personales y los planes de continuidad del negocio, en todo caso, se sujetarán a las normas de la Superintendencia Financiera de Colombia, la Ley 1266 de 2008, la Ley 1581 de 2012, las normas que la modifiquen sustituyen o adicionen, así como los manuales que sobre el particular expida la Bolsa.

Artículo 3.5.1.2.- Objetivos. Aprobado por Resolución No. 2023 de 2008 de la Superintendencia Financiera de Colombia. Las políticas de seguridad que deberán ser observadas por la Bolsa y por las sociedades comisionistas miembros de la Bolsa tendrán como objetivo:

  • Restringir y establecer los niveles de acceso a los programas y archivos, así como determinar los perfiles y autorizaciones para personas según cada nivel de acceso;
  • Propender por que los funcionarios de la Bolsa puedan trabajar sin una supervisión minuciosa y que no puedan modificar los programas ni los archivos que no correspondan, de conformidad con los niveles de acceso y perfiles de usuario asignados por la Bolsa;
  • Establecer medidas tendientes a que los datos, archivos y programas sean utilizados correctamente;
  • Establecer medidas tendientes a que la información enviada sea recibida sólo por el destinatario al cual ha sido enviada y no por otro, así como que la información recibida sea la misma que ha sido transmitida.

Artículo 3.5.1.3.- Aspectos específicos. Aprobado por Resolución No. 2023 de 2008 de la Superintendencia Financiera de Colombia. La Bolsa y las sociedades comisionistas miembros de la Bolsa deberán implementar políticas de seguridad que se conformarán con una serie de pautas sobre aspectos específicos de la seguridad de la información y que incluyen los siguientes tópicos:

  • Organización de la seguridad: orientado a administrar la seguridad de la información de la Bolsa y establecer un marco gerencial para controlar su implementación;
  • Clasificación y control de activos: destinado a mantener una adecuada protección de los activos de la Bolsa;
  • Error y fraude: orientado a reducir los riesgos de error humano, comisión de ilícitos contra la Bolsa o uso inadecuado de instalaciones;
  • Seguridad física: destinado a impedir accesos no autorizados, daños e interferencia a las sedes e información de la Bolsa;
  • Gestión de las comunicaciones y la operatividad del negocio: dirigido a garantizar el funcionamiento correcto y seguro de hardware de procesamiento de información y medios de comunicación. En todo caso deberán cumplir con las especificaciones técnicas que les permitan una conectividad con los sistemas de la Bolsa en condiciones adecuadas y continuas, dando cumplimiento a lo establecido en el presente Reglamento, a través de Instructivo Operativo;
  • Control de acceso: orientado a controlar el acceso lógico a la información;
  • Desarrollo y mantenimiento de los sistemas: orientado a garantizar la incorporación de medidas de seguridad en los sistemas de información desde su desarrollo y/o implementación y durante su mantenimiento;
  • Administración de la continuidad de las actividades: orientado a contrarrestar las interrupciones de las actividades y proteger los procesos críticos de los efectos de fallas significativas o desastres, los cuales deberán ser concordantes y coordinados con los planes de contingencia y continuidad de la Bolsa;
  • Cumplimiento: destinado a impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.

Artículo 3.5.1.4.- Revisión. Aprobado por Resolución No. 2023 de 2008 de la Superintendencia Financiera de Colombia. La Bolsa y las sociedades comisionistas miembros de la Bolsa deberán revisar periódicamente las políticas, a efectos de mantenerlas actualizadas. Así mismo efectuarán toda modificación que sea necesaria en función a posibles cambios que puedan afectar su definición, como cambios tecnológicos, variación de los costos de los controles, impacto de los incidentes de seguridad, entre otros.

Artículo 3.5.1.5.- Seguridad de la Información. Modificado por la Resolución No. 1634 de 2022 de la Superintendencia Financiera de Colombia. Modificado por Resolución No. 1070 de 2023 de la Superintendencia Financiera de Colombia. La Bolsa y las sociedades comisionistas miembros, en adición a las disposiciones en materia de seguridad de la información y ciberseguridad, deberán definir e implementar mecanismos y procedimientos que mitiguen los riesgos de confidencialidad, disponibilidad e integridad de la información y de las operaciones que se ejecutan a través de la Bolsa. Así mismo, deberán establecer medidas tendientes a evitar accesos no autorizados, mediante el establecimiento de protocolos de seguridad, los cuales deberán, como mínimo:

  • Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información (electrónica o física) de la Bolsa y de la sociedad comisionista miembro de la Bolsa;
  • Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento de los equipos de la Bolsa y de la sociedad comisionista miembro de la Bolsa;
  • Implementar medidas para proteger la información manejada por el personal, en el marco normal de sus labores habituales;
  • Verificar el cumplimiento de las disposiciones sobre seguridad física y ambiental fijadas por la sociedad comisionista miembro de la Bolsa y las demás que señale la Bolsa mediante Circular;
  • Definir los niveles de acceso físico del personal a las áreas restringidas bajo su responsabilidad;
  • Definir los niveles de acceso lógico del personal a los sistemas de información y realizar el monitoreo que permita aplicar las novedades respecto de cambios de personal;
  • Mantener debidamente actualizado y en funcionamiento el software bajo una versión soportada por el fabricante, así como el sistema de comunicaciones, que permitan la interconexión con los sistemas de la Bolsa y la entidad a través de la cual se realice la compensación y liquidación de las operaciones celebradas por su conducto;
  • Garantizar mecanismos adecuados de almacenamiento y respaldo de la información que repose en sus sistemas;
  • Adoptar los mecanismos y estrategias para asegurar la disponibilidad de los activos de información requeridos para la operación;
  • Establecer los mecanismos de auditoría de los sistemas de cómputo y de procesamiento de información.

Artículo 3.5.1.6.- Mantenimiento. Aprobado por Resolución No. 2023 de 2008 de la Superintendencia Financiera de Colombia. La Bolsa y las sociedades comisionistas miembros de la Bolsa deberán garantizar que los equipos donde se almacena información sean objeto de mantenimiento periódico que no implique traslado de los servidores fuera de las instalaciones donde se encuentren funcionando. Dichos procesos deberán ser ejecutados bajo estrictas normas de seguridad y de preservación de la información almacenada en los mismos. Esta política se aplicará a todos los recursos físicos relativos a los sistemas de información de las sociedades comisionistas miembros de la Bolsa, en particular a sus instalaciones, equipamiento, cableado, expedientes, medios de almacenamiento, entre otros.

Artículo 3.5.1.7.- Políticas de la red de comunicaciones. Aprobado por Resolución No. 2023 de 2008 de la Superintendencia Financiera de Colombia. La Bolsa y las sociedades comisionistas miembros de la Bolsa deberán implementar mecanismos y procedimientos que garanticen la confidencialidad, integridad y disponibilidad de la información en los usos requeridos por las personas vinculadas a éstas cuando utilicen mecanismos que le permitan acceder remotamente a los sistemas de información de la Bolsa.

Artículo 3.5.1.8.- Usuarios externos. Aprobado por Resolución No. 2023 de 2008 de la Superintendencia Financiera de Colombia. La Bolsa podrá autorizar el acceso a sus sistemas de información a usuarios externos tales como las sociedades comisionistas miembros de la Bolsa, la Superintendencia Financiera de Colombia, los órganos de autorregulación y a los demás que la Bolsa considere necesario, para lo cual deberá suscribir un contrato, acuerdo o convenio con cada uno de éstos en los que se comprometan a cumplir con las políticas de seguridad establecidas por la Bolsa cuando se trate de personas que no tengan la calidad de sociedad comisionista miembro de la Bolsa.

La creación de usuarios para el acceso de personas naturales vinculadas a una sociedad comisionista miembro de la Bolsa deberá ser solicitada de conformidad con el procedimiento que establezca la Bolsa mediante Circular. La creación de usuarios será una función centralizada en la Bolsa, tanto por fijación de perfiles y como por creación de usuarios. El acceso deberá contemplar los siguientes procesos:

  • Autenticación: está referido a la validación del usuario ante el sistema. Las sociedades comisionistas miembros de la Bolsa tendrán derecho hasta el número de usuarios que determine la Bolsa, lo cual será fijado mediante Instructivo Operativo;
  • Autorización: una vez están validados en el sistema, el sistema debe definir las autorizaciones que les corresponden de conformidad con su perfil.

El buen uso del usuario y clave serán responsabilidad exclusiva del usuario, quien en ningún caso podrá prestar su usuario y clave para permitir el ingreso al sistema a persona distinta a la expresamente autorizada por la Bolsa, por lo que recaerá bajo su responsabilidad la propagación, pérdida ó manipulación indebida de la información en caso que esto ocurra.

Artículo 3.5.1.9.- Políticas de seguridad para backups. Aprobado por Resolución No. 2023 de 2008 de la Superintendencia Financiera de Colombia. Las sociedades comisionistas miembros de la Bolsa deberán adoptar políticas para la generación de backups a las bases de datos e información, ambiente de desarrollo y pruebas de las aplicaciones informáticas que utilice que permitan garantizar el respaldo, seguridad y confidencialidad de la información. Por otra parte, deberá definir el procedimiento de restauración de backups, para los medios que son enviados a custodia y almacenamiento externo.

La Bolsa implementará mecanismos similares en su interior los cuales serán divulgados a las sociedades comisionistas miembros de la Bolsa a través de Circular o Instructivo Operativo, de conformidad con la naturaleza de lo divulgado.

Artículo 3.5.1.10.- Auditoría. Aprobado por Resolución No. 2023 de 2008 de la Superintendencia Financiera de Colombia. Modificado por Resolución No. 0820 de 2009 de la Superintendencia Financiera de Colombia. Todos los sistemas automáticos que operan y administran información sensitiva, valiosa o crítica para la Bolsa, según sean definidos mediante Instructivo Operativo pero que, en todo caso, serán considerados como tales los sistemas de aplicación en producción, sistemas operativos, sistemas de bases de datos y telecomunicaciones, generan pistas de auditoría, los cuales deberán asegurar la trazabilidad de todos los eventos objeto de registro en los sistemas administrados por la Bolsa. Las sociedades comisionistas miembros de la Bolsa deberán implementar mecanismos similares. Periódicamente la Bolsa y las sociedades comisionistas miembros de la Bolsa deberán efectuar revisión de las Pistas de Auditoría de los sistemas informáticos que sirvan de soporte para el desarrollo de su objeto social.

La Bolsa establecerá procedimientos que permitan auditar las acciones realizadas por los usuarios así como las acciones realizadas en las bases de datos. En todo caso, deberá poderse contar con procesos archivo y custodia de pistas de auditoría sobre la información relacionada con las posturas y operaciones celebradas por conducto de la Bolsa, así como los mensajes enviados a través del sistema.

Todos los procesos de archivo y custodia de pistas de auditoría deberán facilitar, entre otras cosas, el cumplimiento eficiente y oportuno del deber de monitoreo. Los archivos de auditoría de los diferentes sistemas deberán ser resguardados por periodos definidos según su criticidad y de acuerdo con las exigencias legales para cada caso, ser custodiados en forma segura para que no puedan ser modificados y para que puedan ser leídos únicamente por personas autorizadas.

En caso en que la Bolsa halle actividades y/o manipulación indebida de la información por determinados usuarios, comunicará tal situación por escrito a la sociedad comisionista miembro de la Bolsa y se suspenderá el usuario. Adicionalmente se informará del hecho a la Jefe del Área de Seguimiento y las demás autoridades competentes de esta situación para que tome las medidas sancionatorias pertinentes, de acuerdo con las disposiciones legales.

En todo caso, se deberá conservar la información a que se refiere el presente artículo por el término dispuesto en la ley.

Más información

Contacte a nuestros especialistas y conozca las particularidades y características de nuestro marco interno normativo, así como las oportunidades de mejora que se puedan presentar.