Política de Seguridad y Privacidad de la Información

1. Introducción

El Ministerio del Interior identifica la seguridad de la información como un componente indispensable para alcanzar los objetivos institucionales. SIVIGEM, como sistema auxiliar de URIEL, adopta esta política para asegurar que la información es protegida de manera adecuada, independiente de la forma en la que sea manejada, procesada, transportada o almacenada.

2. Objetivos

Garantizar la confidencialidad, integridad y disponibilidad de la información gestionada por SIVIGEM, mediante el establecimiento de políticas, controles, procedimientos y la promoción de la cultura de la seguridad de la información.

• Minimizar el riesgo en los procesos de registro y seguimiento de casos.
• Cumplir con los principios de seguridad de la información.
• Proteger los activos de información y datos personales de las víctimas.
• Garantizar la continuidad operativa frente a incidentes de seguridad.
• Cumplir con las obligaciones legales y regulatorias en materia de protección de datos.

3. Alcance

Esta política aplica a todos los usuarios de SIVIGEM, servidores públicos, contratistas y terceros que en el ejercicio de sus funciones utilicen información y servicios de la plataforma.

4. Medidas de Seguridad

SIVIGEM implementa las siguientes medidas para proteger la información:

• Autenticación segura: Acceso mediante credenciales únicas con requisitos de complejidad de contraseña (mínimo 8 caracteres, mayúsculas, minúsculas, números y caracteres especiales).
• Cifrado de datos: Las contraseñas se almacenan cifradas con algoritmos de hash seguros. Las sesiones utilizan tokens JWT firmados digitalmente.
• Control de acceso basado en roles: Los usuarios solo pueden acceder a la información correspondiente a su rol y entidad.
• Protección contra ataques: Implementación de limitación de intentos de inicio de sesión, cabeceras de seguridad HTTP y protección contra inyecciones.
• Conexiones seguras: Toda la comunicación se realiza a través de protocolo HTTPS con cifrado TLS.
• Cambio obligatorio de contraseña: Los usuarios deben cambiar su contraseña en el primer inicio de sesión.

5. Compromisos de Seguridad

• Proteger la información generada, procesada o resguardada por SIVIGEM, minimizando impactos operativos o legales por uso incorrecto.
• Proteger la información de amenazas originadas por usuarios internos o externos.
• Implementar controles de acceso a la información y recursos del sistema.
• Garantizar que la seguridad y privacidad sean parte integral del ciclo de vida del sistema.
• Gestionar adecuadamente los eventos e incidentes de seguridad para una mejora continua.
• Garantizar el cumplimiento de las obligaciones legales, regulatorias y contractuales.

6. Privacidad de la Información

SIVIGEM maneja información altamente sensible relacionada con víctimas de violencia contra las mujeres en la vida política. Por lo tanto:

• La información de casos es de acceso restringido según el rol del usuario.
• Los datos personales de víctimas y denunciantes se tratan conforme a la Ley 1581 de 2012.
• No se comparte información con terceros no autorizados por la ley.
• Los datos se utilizan exclusivamente para los fines de vigilancia y seguimiento de la Ley 2453 de 2025.
• Se respeta el principio de minimización de datos: solo se recopila la información estrictamente necesaria.

7. Responsabilidades de los Usuarios

• No revelar credenciales de acceso a terceros.
• Cerrar la sesión al finalizar el uso de la plataforma.
• Reportar cualquier incidente o vulnerabilidad de seguridad detectada.
• No extraer o descargar información del sistema para fines no autorizados.
• Cumplir con las políticas de uso aceptable y confidencialidad.

8. Incumplimiento

El incumplimiento de esta política traerá consigo las consecuencias legales aplicables, incluyendo lo establecido en la Ley 734 de 2002 (Código Disciplinario Único), la Ley 1952 de 2019 (Código General Disciplinario) y demás normas que competan al gobierno nacional en materia de seguridad y privacidad de la información.

9. Vigencia

Esta política rige a partir de su publicación y será revisada periódicamente, considerando incidentes de seguridad, nuevas vulnerabilidades, cambios en la infraestructura y actualizaciones normativas.