Documento solicitado durante la auditoría. Se entregó únicamente la versión 0.3 en estado borrador, sin firma de la Gerencia ni acto administrativo de adopción. La Cláusula 5.2 de ISO 27001 exige aprobación formal de la Alta Dirección.
Política de Seguridad de la Información
BORRADOR — No aprobado por la Alta Dirección
1. Propósito
Establecer el marco normativo de seguridad de la información para OmniControl S.A.S, alineado con ISO/IEC 27001:2022 y la Ley 1581 de 2012, cubriendo las actividades de desarrollo, operación y soporte del ERP/TMS ofrecido a clientes del sector logístico colombiano.
2. Alcance
Aplica a todo el personal de OmniControl S.A.S (interno, contratistas y terceros), a los sistemas de información de la organización, y a los ambientes cloud (AWS) donde se procesa información de clientes.
3. Compromiso de la Alta Dirección
[Pendiente de redacción] — La declaración de compromiso de la Gerencia debe ser elaborada y firmada por la Gerente General, María Elena Ramírez. A la fecha, este apartado se encuentra en blanco.
4. Roles y responsabilidades
4.1 Alta Dirección
La Gerencia es responsable de aprobar la presente política, asignar recursos para su implementación y revisar su cumplimiento al menos anualmente.
4.2 Oficial de Protección de Datos (DPO)
[Sección incompleta] — La Ley 1581/2012 Art. 26 (principio de Accountability) y el Decreto 1377/2013 exigen la designación formal de un responsable de protección de datos. A la fecha de este borrador, OmniControl no ha designado un DPO mediante acto administrativo. Las funciones de cumplimiento son asumidas informalmente por el Desarrollador Fullstack (Carlos Andrés Gutiérrez), lo cual genera un conflicto de roles entre operación técnica y supervisión de cumplimiento.
4.3 Equipo técnico
Aplicar los controles de desarrollo seguro definidos en los procedimientos asociados (cuando estén formalizados).
5. Principios de seguridad
- Confidencialidad de la información de los clientes logísticos.
- Integridad de los documentos fiscales transmitidos a la DIAN.
- Disponibilidad de las integraciones con DIAN, RNDC y proveedores GPS.
- Cumplimiento legal — Ley 1581/2012 y Decreto 1377/2013.
6. Comité SGSI
[Apartado en discusión] — La conformación del Comité SGSI no se ha establecido. No existen actas de reuniones del comité ni evidencia de revisión por la dirección. El borrador propone una frecuencia trimestral pero no ha sido aprobado.
7. Sanciones por incumplimiento
[Pendiente]
8. Revisión y actualización
La presente política deberá ser revisada y actualizada anualmente o cuando ocurra un cambio significativo en el contexto, riesgos o marco normativo aplicable.
Control de versiones
| Versión | Fecha | Autor | Cambios | Estado |
|---|---|---|---|---|
| 0.1 | 2025-09-04 | C. Gutiérrez | Esquema inicial | Draft |
| 0.2 | 2025-10-22 | C. Gutiérrez | Adición secciones 4 y 5 | Draft |
| 0.3 | 2025-11-18 | C. Gutiérrez | Pendiente revisión Gerencia | Draft — sin aprobar |
Firmas y aprobación
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| Gerente General | María Elena Ramírez | — Sin firmar — | — |
| DPO | Sin designar | — | — |
| Comité SGSI | Sin conformar | — | — |