POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1. PROPÓSITO

Esta política establece el marco rector para la protección de la información clínica, administrativa, digital y personal en RyZ DERMATECH, alineada con su misión de brindar experiencias dermatológicas únicas mediante la ciencia, la tecnología y el trato humano, y con su visión de convertirse en un consultorio de referencia en Colombia en cuidado de la piel, ética médica, innovación y resultados visibles.

2. ALCANCE

Aplica a todos los procesos organizacionales definidos en el Mapa de Procesos (DOC-ORG-002), incluyendo:

• Atención dermatológica especializada
• Procedimientos clínicos y estéticos
• Gestión de historias clínicas
• TICs y plataformas digitales
• Procesos administrativos y financieros
• Bioseguridad y apoyo clínico
• Gestión de la experiencia del paciente
• Marketing digital y posicionamiento

Comprende a:

• Todo el personal médico, administrativo, asistencial y proveedores con acceso autorizado a información.
• Todos los activos físicos y digitales que almacenan, procesan o transmiten información sensible, confidencial o personal.

3. ALINEACIÓN CON LA MISIÓN Y VALORES CORPORATIVOS

Esta política se sustenta en los principios y valores institucionales de RyZ DERMATECH, en especial:

• Responsabilidad: protegiendo la seguridad de los datos que nos confían nuestros pacientes.
• Respeto y buen trato: asegurando el uso ético y transparente de su información.
• Innovación: aplicando tecnologías de vanguardia para garantizar confidencialidad y disponibilidad.
• Integridad: cumpliendo las normas legales y éticas en todo tratamiento de información.

4. MARCO DE OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN

Esta política sirve de base para establecer objetivos anuales de seguridad de la información, revisados por la Dirección de RyZ DERMATECH en función del ciclo de mejora continua. Entre ellos:

5. COMPROMISO DE CUMPLIMIENTO LEGAL Y CONTRACTUAL

La alta dirección de RyZ DERMATECH se compromete a cumplir con:

• ISO/IEC 27001:2022
• Ley 1581 de 2012, Decreto 1377 de 2013, Ley 1273 de 2009, Resolución 1995 de 1999
• GDPR (UE 2016/679) cuando aplique a titulares europeos
• Todos los requisitos contractuales relacionados con privacidad, seguridad y confidencialidad

Así como a mantener la documentación y evidencia necesaria para auditar el cumplimiento del SGSI de RyZ DERMATECH.

6. COMPROMISO CON LA MEJORA CONTINUA

La Junta medica de RyZ DERMATECH se compromete a:

• Identificar y evaluar los riesgos relacionados con la seguridad de la información.
• Establecer, implementar y mantener controles de seguridad proporcionales a los riesgos.
• Monitorear el desempeño del sistema y aplicar medidas correctivas.
• Promover una cultura de seguridad en toda la organización.
• Revisar y actualizar periódicamente esta política y el sistema que la soporta.

7. GESTIÓN DOCUMENTAL Y COMUNICACIÓN DE LA POLÍTICA

Esta política se conserva como documento controlado en el Listado Maestro (FOR-SI-005).

Se comunica a todo el personal mediante procesos de inducción, reinducción, capacitaciones y firma de entendimiento.

Se publica en el sitio web de RyZ DERMATECH y está disponible para pacientes, autoridades y partes interesadas que lo soliciten.

8. RESPONSABILIDADES

9. VIGENCIA, CONTROL DE CAMBIOS Y FIRMA

10. APROBACIÓN

Diseñado e implantado por: SISGEN AMBIENTE & SST O.M SAS. Firma Consultora Especialista.

Aprobó: RYZ DERMATECH Junta Medica Directiva.

Código: POL-SI-001

Fecha de actualización: 18/06/2025

---

POLÍTICA DE CONTROL DE PERIFÉRICOS Y ACTIVOS PORTÁTILES

1. PROPÓSITO

La Política de Control de Periféricos y Activos Portátiles de RyZ DERMATECH tiene como propósito establecer los lineamientos técnicos, administrativos y jurídicos necesarios para controlar el uso, acceso y conectividad de dispositivos periféricos y activos portátiles en todos los procesos clínico-administrativos de RyZ DERMATECH. Su objetivo principal es prevenir el acceso no autorizado, la pérdida, filtración o fuga de información sensible, y garantizar el cumplimiento de las normas sobre protección de datos personales y seguridad de la información.

2. ALCANCE

Esta política aplica a todo el personal médico, asistencial, administrativo, técnico, contratistas y proveedores que operen, manipulen o tengan contacto con estaciones de trabajo, equipos de cómputo, sistemas clínicos, servidores, redes y dispositivos móviles dentro del entorno organizacional. Igualmente, regula el ingreso y uso de dispositivos como memorias USB, discos externos, cámaras, laptops, teléfonos inteligentes, impresoras inalámbricas, tabletas y cualquier otro equipo que permita la portabilidad o almacenamiento de información de RyZ DERMATECH.

El marco normativo que fundamenta esta política incluye la ISO/IEC 27001:2023 (anexos A.8 y A.9), la Ley 1581 de 2012 sobre protección de datos personales, la Ley 1273 de 2009 sobre delitos informáticos, la Ley 2015 de 2020 sobre historia clínica electrónica, y las buenas prácticas del Reglamento General de Protección de Datos (GDPR) como referencia complementaria.

En este contexto, se define como periférico cualquier dispositivo que se conecte física o inalámbricamente a un sistema informático en RyZ DERMATECH, y como activo portátil todo equipo que pueda almacenar o transmitir información fuera del entorno fijo controlado (por ejemplo: laptop, memoria USB, cámara, Tablet). Todos estos dispositivos representan puntos críticos de exposición y deben ser controlados de forma rigurosa.

Se establece que todos los puertos USB de las estaciones de trabajo de RyZ DERMATECH, estarán bloqueados por defecto mediante configuración técnica del sistema, como medida preventiva de seguridad.

El uso de dispositivos periféricos o activos portátiles estará permitido únicamente cuando haya sido aprobado por el Responsable SGSI / DPO, a través del Formato FOR-SI-004 Autorización de Dispositivos USB, con justificación documentada, firma del solicitante y del aprobador. Todo dispositivo aprobado deberá estar cifrado, etiquetado, y registrado en el Formato FOR-SI-002- Registro de Activos de Información. En RyZ DERMATECH, queda absolutamente prohibido conectar dispositivos personales no autorizados (como teléfonos móviles, discos externos, cámaras personales), así como impresoras o periféricos inalámbricos que no estén gestionados directamente por la infraestructura tecnológica institucional. Asimismo, está prohibido almacenar información clínica o administrativa en equipos ajenos a RyZ DERMATECH, incluso de manera temporal.

Las estaciones de trabajo deben contar con:

• Usuarios únicos con clave de acceso individual
• Bloqueo automático tras 5 minutos de inactividad
• Protección mediante antivirus actualizado (Bitdefender).
• Ubicación en espacios controlados sin acceso físico por parte de pacientes o terceros.

3. SUPERVISIÓN Y RESPONSABILIDADES

El cumplimiento de esta política será supervisado mediante auditorías internas realizadas por el SGSI de RyZ DERMATECH. Cualquier incidente relacionado con el uso inadecuado de dispositivos periféricos o activos portátiles será tratado como incidente de seguridad de la información y gestionado bajo los lineamientos del Procedimiento PRO-SI-001-Gestión de Incidentes.

Las responsabilidades asociadas a esta política son las siguientes:

• El Responsable SGSI es quien configura, aplica, registra y audita las autorizaciones de dispositivos, y gestiona los controles técnicos.
• La Junta Médica Directiva / Dirección General aprueba la política y las excepciones justificadas.
• El Responsable del Tratamiento / DPO, como figura institucional que integra funciones técnicas y legales, garantiza el cumplimiento normativo de esta política, verifica el uso de medios portátiles en el tratamiento de datos personales o sensibles, y actúa como canal ante los titulares y la Superintendencia de Industria y Comercio.
• Todo el personal autorizado tiene la obligación de cumplir estrictamente con esta política, custodiar los dispositivos asignados, y reportar de inmediato cualquier pérdida, uso indebido o incidente relacionado.

4. COMPLEMENTOS DE LA POLÍTICA

Esta política se complementa con los siguientes documentos del SGSI:

• FOR-SI-004- Formato de Autorización de Uso de Dispositivos USB
• FOR-SI-002- Registro de Activos de Información
• PRO-SI-001 - Procedimiento de Gestión de Incidentes
• MAN-SI-001 - Manual de Seguridad de la Información
• REQ-SI-001 - Matriz de Evaluación de Riesgos

5. VIGENCIA, CONTROL DE CAMBIOS Y FIRMA

La presente versión 1 fue aprobada el día 18 de junio de 2025 y forma parte del Sistema de Gestión de Seguridad de la Información de RyZ DERMATECH. Cualquier modificación o actualización será registrada formalmente y estará sujeta a revisión periódica por parte del Responsable SGSI y la alta dirección de RyZ DERMATECH.

6. APROBACIÓN

Diseñado e implantado por: SISGEN AMBIENTE & SST O.M SAS. Firma Consultora Especialista.

Aprobó: RYZ DERMATECH Junta Medica Directiva.

Código: POL-SI-002

Fecha de actualización: 18/06/2025

---

POLÍTICA DE ESCRITORIO LIMPIO

1. PROPÓSITO

La presente política tiene como objetivo establecer las directrices formales para la implementación de prácticas de escritorio limpio dentro de los espacios clínico-administrativos de RyZ DERMATECH, como una medida técnica y organizacional para proteger la confidencialidad, integridad y disponibilidad de la información física y digital, así como para garantizar el cumplimiento normativo en materia de seguridad de la información y protección de datos personales.

2. ALCANCE

Esta política aplica a todo el personal de RyZ DERMATECH, sin distinción de jerarquía o tipo de contrato, incluyendo personal médico, asistencial, administrativo, técnico, proveedores y contratistas que operen en cualquier área física o digital del consultorio: consultorios, recepción, administración, salas de procedimientos, estaciones clínicas, zonas de archivo y cualquier entorno donde se manipulen documentos o sistemas de información institucional.

Se encuentra alineada con los requisitos de la ISO/IEC 27001:2023 (anexos A.8, A.9 y A.11), la Ley 1581 de 2012, la Ley 1273 de 2009, la Ley 2015 de 2020 sobre historia clínica electrónica, la Resolución 1995 de 1999, y las buenas prácticas en seguridad física y organizacional previstas por el marco legal colombiano.

Se entiende como escritorio limpio el conjunto de acciones preventivas destinadas a mantener despejadas las superficies de trabajo, los escritorios, las estaciones digitales y los espacios de archivo, evitando que documentos físicos, pantallas activas o materiales expuestos contengan información sensible, confidencial o identificable del paciente o de terceros sin la debida custodia o supervisión.

En desarrollo de esta política, se establece que:

• Todos los documentos físicos relacionados con pacientes, historias clínicas, consentimientos informados, exámenes o registros administrativos deben ser archivados, cerrados o almacenados al finalizar cada jornada o al momento de ausentarse del puesto de trabajo.
• Queda prohibido dejar a la vista en escritorios, bandejas, mesas de consulta o mostradores cualquier material que contenga información identificable del paciente sin vigilancia directa.
• Todas las pantallas de computador deben bloquearse automáticamente tras cinco (5) minutos de inactividad, y los usuarios deben cerrar sesión manualmente cuando se ausenten por tiempo prolongado.
• No se permite compartir pantallas con información médica si existe la posibilidad de visualización por terceros no autorizados (pacientes, acompañantes, visitantes).
• Los documentos físicos deben ser almacenados en archivadores cerrados, cajones con llave o lockers designados. En ningún caso debe utilizarse material institucional como notas, fichas o consentimientos informados como objetos de referencia en espacios abiertos.
• Las reuniones clínicas o administrativas que manejen información sensible deberán realizarse en espacios cerrados o controlados, evitando el uso de pizarras, post-it o proyecciones a la vista de terceros.
• Las estaciones de trabajo y escritorios deben mantenerse organizados, despejados y libres de papel innecesario. Las tareas del día deben iniciarse con una superficie limpia y deben cerrarse con revisión de cumplimiento de esta política.

3. SUPERVISIÓN Y RESPONSABILIDADES

En cuanto a las responsabilidades asociadas a esta política:

• Todo el personal debe cumplir los lineamientos aquí establecidos como parte de sus obligaciones laborales y éticas.
• El Responsable SGSI debe verificar periódicamente su cumplimiento mediante recorridos, inspecciones visuales y auditorías internas documentadas.
• La Dirección General y la Junta Médica deben respaldar esta política como parte del Sistema de Gestión de Seguridad de la Información.
• El Responsable del Tratamiento / DPO, en su rol de garante del cumplimiento normativo en protección de datos, deberá supervisar que estas medidas sean consistentes con los principios de confidencialidad, minimización del riesgo y no divulgación.

4. COMPLEMENTOS DE LA POLÍTICA

Esta política se encuentra estrechamente relacionada con los siguientes documentos del SGSI:

• MAN-SI-001 - Manual de Seguridad de la Información
• REQ-SI-001 - Matriz de Evaluación de Riesgos
• POL-SI-002 - Política de Control de Periféricos y Activos Portátiles
• PRO-SI-001 - Procedimiento de Gestión de Incidentes
• FOR-SI-005 - Listado Maestro de Documentos del SGSI

5. VIGENCIA Y CONTROL DE CAMBIOS

El incumplimiento de esta política será considerado una falta grave en materia de seguridad de la información y podrá derivar en acciones disciplinarias, contractuales o legales, según lo establecido por la normatividad vigente. La versión 1 de este documento entra en vigor a partir del 18 de junio de 2025, y su contenido será revisado anualmente o en caso de presentarse cambios tecnológicos, normativos o estructurales relevantes.

6. APROBACIÓN

Diseñado e implantado por: SISGEN AMBIENTE & SST O.M SAS. Firma Consultora Especialista.

Aprobó: RYZ DERMATECH Junta Medica Directiva.

Código: POL-SI-003

Fecha de actualización: 18/06/2025