Volver
Versión 1.0 — mayo 2026
Política de Seguridad de la Información
1. Introducción
La información es un activo fundamental para las actividades de RILAXX S.A.S. (en adelante, "Rilaxx" o "la Empresa"), sociedad comercial del sector de comercialización de bebidas alcohólicas a través de plataformas digitales. Como tal, la información debe estar apropiadamente protegida de acuerdo con los principios de confidencialidad, integridad y disponibilidad, de manera que se minimicen los riesgos y se asegure la continuidad de las operaciones comerciales de la Empresa.
El presente documento constituye la Política de Seguridad de la Información de Rilaxx, complementaria a la Política de Tratamiento y Protección de Datos Personales y la Política de Cookies y Tecnologías Similares. Su desarrollo se fundamenta en las mejores prácticas de seguridad de la información reconocidas internacionalmente (ISO/IEC 27001:2022, ISO/IEC 27002:2022).
2. Objetivo
Establecer las políticas de seguridad de la información de RILAXX S.A.S. con el fin de proteger la confidencialidad, integridad, disponibilidad y privacidad de la información de la Empresa, sus clientes, proveedores y demás grupos de interés.
3. Alcance
Las políticas definidas en el presente documento deben ser conocidas y aplicadas por todos los colaboradores de Rilaxx, incluyendo:
- El representante legal y la gerencia.
- Empleados directos y contratistas.
- Proveedores y terceros que accedan a la información o sistemas de Rilaxx.
- Cualquier persona que, por razón de su vínculo con la Empresa, tenga acceso a activos de información.
La política aplica a toda la información de Rilaxx, independientemente de su formato (digital o físico), medio de almacenamiento, ubicación o forma de transmisión.
4. Glosario
| Término | Definición |
|---|---|
| Activo de información | Cualquier elemento que para la Empresa tenga valor y deba ser protegido, incluyendo información digital, información física, software, hardware, servicios y recurso humano. |
| Amenaza | Posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño sobre los elementos de un sistema de información. |
| Confidencialidad | Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados. |
| Disponibilidad | Propiedad de la información de estar accesible y utilizable cuando lo requiera una persona o proceso autorizado. |
| Evento de seguridad | Presencia identificada de una condición de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información o falla de las salvaguardas. |
| Incidente de seguridad | Evento o serie de eventos de seguridad no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones y amenazar la seguridad de la información. |
| Integridad | Propiedad de la información relativa a su exactitud y completitud. |
| SGSI | Sistema de Gestión de la Seguridad de la Información. |
| Vulnerabilidad | Capacidad, condiciones y características de un sistema que lo hacen susceptible a amenazas, con el resultado de sufrir algún daño. |
| Cifrado | Método que permite aumentar la seguridad de un mensaje o archivo mediante la codificación del contenido, de manera que solo pueda leerlo quien cuente con la clave de descifrado adecuada. |
| Código malicioso | Programas hostiles e intrusivos que tienen como objeto infiltrarse o dañar recursos informáticos, sistemas operativos, redes de datos o sistemas de información (malware, virus, ransomware, etc.). |
| VPN | Red Privada Virtual (Virtual Private Network). Tecnología que permite una extensión segura de la red local sobre una red pública como Internet. |
5. Marco normativo
- Constitución Política de Colombia, artículo 15 (derecho a la intimidad y habeas data).
- Ley Estatutaria 1581 de 2012, régimen general de protección de datos personales.
- Decreto 1377 de 2013, compilado en el Decreto Único Reglamentario 1074 de 2015.
- Ley 1273 de 2009, por medio de la cual se modifica el Código Penal y se crea un nuevo bien jurídico tutelado denominado "De la protección de la información y de los datos".
- Ley 527 de 1999, sobre mensajes de datos, comercio electrónico y firmas digitales.
- Ley 1480 de 2011, Estatuto del Consumidor.
- Ley 2300 de 2023, sobre comunicaciones comerciales no deseadas.
- Título V de la Circular Única de la Superintendencia de Industria y Comercio.
- Norma ISO/IEC 27001:2022, requisitos para sistemas de gestión de seguridad de la información.
- Norma ISO/IEC 27002:2022, controles de seguridad de la información.
6. Responsables
| Rol | Responsabilidades principales |
|---|---|
| Representante Legal | Aprobar la Política, asignar recursos, liderar la cultura de seguridad de la información y velar por su cumplimiento. |
| Oficial de Seguridad de la Información | Coordinar la implementación del SGSI, revisar y actualizar las políticas, gestionar incidentes, mantener contacto con autoridades (SIC, ColCERT, CSIRT), y liderar los programas de capacitación y sensibilización. |
| Oficial de Protección de Datos (OPD) | Velar por el cumplimiento de la normativa de datos personales, coordinar auditorías internas, gestionar solicitudes de titulares y reportar incidentes al RNBD. |
| Colaboradores (empleados y contratistas) | Conocer y aplicar las políticas de seguridad, proteger los activos de información a su cargo, reportar incidentes y participar en las capacitaciones. |
| Proveedores y terceros | Cumplir con los acuerdos de confidencialidad y las políticas de seguridad aplicables al tratamiento de información de Rilaxx. |
7. Políticas de seguridad de la información
7.1. Política de organización interna de la seguridad
- El representante legal debe revisar y aprobar las políticas de seguridad al menos una (1) vez al año o cuando ocurran cambios significativos.
- El Oficial de Seguridad de la Información debe mantener contacto con las autoridades competentes en materia de seguridad digital (ColCERT, CSIRT, SIC).
- La seguridad de la información se debe integrar en la gestión de todos los proyectos de la Empresa.
- Se debe realizar una valoración de riesgos de seguridad de la información al menos una (1) vez al año.
7.2. Política de seguridad para el teletrabajo y trabajo remoto
- El colaborador que trabaje de forma remota deberá resguardar la información institucional, impidiendo el acceso de terceros no autorizados.
- El acceso remoto a los sistemas de información de Rilaxx se debe realizar a través de conexiones seguras (VPN o protocolo equivalente cifrado).
- Las conexiones a redes inalámbricas deben utilizar esquemas de seguridad robustos (WPA2 como mínimo). No se permite el uso de redes WEP ni redes públicas abiertas.
- No se debe brindar acceso al equipo de cómputo, información o recursos de la Empresa a personas no autorizadas.
7.3. Política de seguridad del recurso humano
Antes de la vinculación:
- Se deben verificar los antecedentes de todos los candidatos a empleo o contratación.
- Todo colaborador que requiera acceso a información de la Empresa deberá suscribir un acuerdo de confidencialidad antes de obtener dicho acceso.
Durante la vinculación:
- Todos los colaboradores deben recibir capacitación en seguridad de la información dentro de los primeros treinta (30) días de su vinculación, y capacitación de actualización al menos una (1) vez al año.
- Los temas mínimos de capacitación incluyen: protección de datos personales (habeas data), manejo de solicitudes de titulares, conductas prohibidas y procedimiento de reporte de incidentes.
Terminación o cambio de funciones:
- Al terminar la relación laboral o contractual, el colaborador debe devolver todos los activos de información de la Empresa a su cargo.
- Se deben desactivar inmediatamente todos los accesos lógicos y físicos del colaborador desvinculado.
- Se debe realizar borrado seguro de la información institucional almacenada en dispositivos personales del colaborador, cuando aplique.
7.4. Política de uso aceptable de activos de información
Uso de Internet:
- El acceso a Internet desde equipos institucionales debe destinarse exclusivamente a actividades laborales.
- Queda prohibido acceder a páginas con contenido ilegal, pornográfico o que representen un riesgo para la seguridad de los sistemas.
- No se permite la instalación de software no autorizado, incluyendo aplicaciones P2P, VPNs personales o extensiones de navegador no verificadas.
Uso de correo electrónico institucional:
- El correo electrónico institucional es una herramienta exclusivamente laboral.
- Se prohíbe el uso de correos personales para establecer o transferir información institucional.
- Todo correo de procedencia sospechosa debe ser ignorado y reportado al Oficial de Seguridad de la Información.
- Se debe habilitar la autenticación de doble factor (MFA) para el acceso al correo electrónico institucional.
Uso de dispositivos móviles institucionales:
- Los dispositivos móviles institucionales deben tener un esquema de autenticación (contraseña, patrón o biometría) y sus unidades de almacenamiento deben estar cifradas.
- En caso de robo o pérdida, se debe reportar inmediatamente al Oficial de Seguridad de la Información para proceder al borrado remoto de la información.
Uso del servicio de nube:
- No se permite almacenar información institucional en servicios de nube personales no autorizados por la Empresa.
- Los servicios en la nube contratados por Rilaxx (Shopify, Vercel, Google Workspace, etc.) deben contar con autenticación de doble factor (MFA) habilitada para todos los usuarios autorizados.
7.5. Política de clasificación y etiquetado de la información
| Nivel | Descripción | Ejemplos | Controles |
|---|---|---|---|
| Pública | Información de libre acceso, sin restricciones de divulgación. | Catálogo de productos, contenido del sitio web, información de contacto pública. | Sin controles especiales. |
| Interna | Información para uso exclusivo del personal de Rilaxx. | Procedimientos operativos, comunicaciones internas, organigramas. | Acceso restringido a colaboradores. Almacenamiento seguro. |
| Confidencial | Información sensible cuya divulgación no autorizada podría causar perjuicio significativo. | Datos personales de clientes, información financiera, estrategias comerciales, contraseñas, credenciales de API. | Acceso restringido por roles. Cifrado en tránsito y en reposo. Acuerdos de confidencialidad. |
| Reservada | Información cuya divulgación está prohibida por disposición legal o contractual. | Información sujeta a secreto profesional, datos sensibles conforme a la Ley 1581/2012. | Máximos controles de acceso. Cifrado obligatorio. Trazabilidad completa. |
7.6. Política de control de acceso
- Se debe seguir un procedimiento formal para la creación, modificación y eliminación de cuentas de usuario en todos los sistemas de información.
- Cada usuario debe disponer de una identificación única (ID) que permita determinar la responsabilidad de las acciones realizadas. No se permiten cuentas genéricas o compartidas.
- El otorgamiento de privilegios debe seguir el principio de mínimo privilegio: se debe autorizar únicamente el nivel de acceso estrictamente necesario para el desempeño de las funciones.
- Se debe mantener un registro actualizado de todos los usuarios autorizados y sus niveles de acceso, y verificarlo periódicamente (al menos cada seis meses).
- Al desvincularse un colaborador, se deben eliminar inmediatamente todos sus accesos a los sistemas de información.
7.7. Política de contraseñas
Requisitos de contraseñas:
- Las contraseñas deben tener un mínimo de diez (10) caracteres.
- Deben ser alfanuméricas, incluyendo letras mayúsculas, minúsculas, números y al menos un carácter especial (!#$%@/).
- No deben contener el nombre del usuario, datos personales, nombres de familiares ni información fácilmente deducible.
- No deben reutilizarse las últimas cinco (5) contraseñas.
Gestión de contraseñas:
- Las contraseñas deben cambiarse obligatoriamente cada noventa (90) días, o inmediatamente cuando exista sospecha de compromiso.
- Después de cinco (5) intentos fallidos consecutivos, la cuenta se bloqueará automáticamente y deberá ser desbloqueada por el Oficial de Seguridad de la Información.
- Las contraseñas no deben almacenarse en texto plano; se deben utilizar métodos de cifrado unidireccional (hashing).
- No se permite compartir contraseñas bajo ninguna circunstancia. Las contraseñas son personales e intransferibles.
- Se debe habilitar autenticación de doble factor (MFA) en todos los sistemas críticos: plataforma de comercio electrónico (Shopify), servicios en la nube, correo electrónico y paneles de administración.
7.8. Política de controles de cifrado
- Toda la información clasificada como Confidencial o Reservada que se transmita por redes públicas debe estar cifrada mediante protocolos seguros (TLS 1.2 o superior).
- El sitio web de Rilaxx debe utilizar HTTPS con certificado SSL/TLS válido en todas sus páginas, sin excepciones.
- Las credenciales de acceso a plataformas, APIs y servicios de terceros deben almacenarse como variables de entorno cifradas, nunca en código fuente ni en repositorios de control de versiones.
- Los datos personales que se almacenen en medios removibles deben ser cifrados antes de su transferencia.
- Las direcciones IP y otros identificadores técnicos almacenados en logs de consentimiento deben ser anonimizados mediante hashing (SHA-256 o equivalente).
7.9. Política de seguridad física y del entorno
- Los equipos de cómputo y dispositivos que contengan información institucional deben almacenarse en lugares seguros con acceso restringido.
- Los servidores de Rilaxx se encuentran alojados en centros de datos certificados de proveedores autorizados (Vercel, Shopify).
- Se debe adoptar una política de escritorio limpio y pantalla limpia.
- Los equipos desatendidos deben bloquearse automáticamente después de un periodo máximo de cinco (5) minutos de inactividad.
7.10. Política de gestión de medios removibles
- Los medios removibles (memorias USB, discos externos, etc.) que contengan información de Rilaxx deben contar con cifrado y protección con contraseña.
- Los medios removibles que se dejen de utilizar deben pasar por un proceso de borrado seguro que haga la información irrecuperable.
- Todo medio removible que se conecte a equipos institucionales debe ser analizado previamente con software antivirus.
7.11. Política de control de código malicioso
- Todos los equipos de cómputo institucionales deben contar con software antivirus/antimalware actualizado y activo.
- Se debe programar la ejecución periódica de análisis completos de los equipos de cómputo (al menos semanal).
- Queda prohibida la instalación de software de fuentes no confiables o no autorizadas por la Empresa.
- Se deben mantener actualizados los sistemas operativos y el software de todos los equipos, aplicando los parches de seguridad disponibles de manera oportuna.
7.12. Política de copias de respaldo (backups)
- Se deben realizar copias de respaldo periódicas de toda la información crítica de la Empresa, incluyendo bases de datos de clientes, registros de consentimiento, configuraciones de la plataforma y documentación relevante.
- Las copias de respaldo deben almacenarse en ubicaciones seguras, separadas del entorno de producción, y con cifrado apropiado.
- Se deben realizar pruebas periódicas de restauración (al menos una vez por semestre) para verificar la integridad y disponibilidad de las copias de respaldo.
7.13. Política de gestión de seguridad en las redes
- Se deben implementar controles para proteger la información en tránsito contra interceptación, copia, modificación y destrucción no autorizada.
- Las conexiones remotas a sistemas de la Empresa se deben realizar exclusivamente a través de canales seguros cifrados (VPN, SSH o equivalentes).
- Las redes inalámbricas institucionales deben estar separadas de las redes de invitados o de uso público.
- Se debe realizar monitoreo periódico del tráfico de red para detectar actividades sospechosas o intentos de acceso no autorizado.
8. Política de transferencia de información
- Los colaboradores no deben emitir copias, divulgar, emplear indebidamente o reproducir información de la Empresa con fines diferentes al cumplimiento de sus funciones.
- Toda transferencia de información confidencial o reservada a terceros debe estar amparada por un acuerdo de confidencialidad.
- No se deben sostener conversaciones que involucren información confidencial en lugares públicos o mediante canales de comunicación no seguros.
- En todo contrato con terceros que implique transferencia de información, se debe garantizar la suscripción de un compromiso de confidencialidad y seguridad.
9. Política de seguridad en las relaciones con proveedores
| Proveedor | Servicios | Controles requeridos |
|---|---|---|
| Shopify Inc. | Plataforma de comercio electrónico, checkout, pagos | Certificación PCI-DSS, cifrado TLS, acuerdo de procesamiento de datos (DPA). |
| Vercel Inc. | Hosting del sitio web | Cifrado HTTPS, aislamiento de entornos, acuerdo de confidencialidad. |
| Google LLC | Analytics, Ads, Maps, Workspace | DPA vigente, anonimización de datos analíticos, consentimiento previo del usuario para cookies opcionales. |
| Meta Platforms, Inc. | Pixel de remarketing y conversiones | DPA vigente, consentimiento previo del usuario, transferencia bajo cláusulas contractuales tipo. |
| Operadores logísticos | Entrega física de productos | Acuerdo de confidencialidad, limitación de uso de datos a la finalidad de entrega. |
| Procesadores de pago | Procesamiento de transacciones financieras | Certificación PCI-DSS, cifrado de datos financieros, sin almacenamiento de datos de tarjetas. |
10. Política de borrado seguro
- Los equipos de cómputo, dispositivos móviles y medios de almacenamiento que se retiren de servicio o se reasignen deben someterse a un proceso de borrado seguro que sobrescriba al menos tres (3) veces el medio de almacenamiento.
- Para la destrucción de documentos físicos con información confidencial, se deben utilizar mecanismos de trituración.
- En caso de pérdida o hurto de dispositivos móviles, se debe ejecutar el borrado remoto de información.
11. Política de gestión de incidentes de seguridad de la información
11.1. Reporte de incidentes
Todos los colaboradores deben reportar de manera inmediata al Oficial de Seguridad de la Información cualquier situación sospechosa, incidente o vulnerabilidad que comprometa la confidencialidad, integridad o disponibilidad de la información. El no reporte de un incidente conocido será considerado una falta grave.
11.2. Procedimiento de respuesta
| Fase | Descripción | Plazo máximo |
|---|---|---|
| 1. Contención inmediata | Revocar tokens comprometidos, aislar sistemas afectados, bloquear accesos sospechosos. | Inmediato (primeras 2 horas) |
| 2. Evaluación del alcance | Determinar qué datos, sistemas y titulares fueron afectados. Clasificar la severidad del incidente. | Menos de 24 horas |
| 3. Notificación a la SIC | Si el incidente compromete datos personales de múltiples titulares o datos sensibles, notificar a la SIC a través del RNBD. | Máximo 15 días hábiles |
| 4. Notificación a titulares | Informar a los titulares afectados por correo electrónico sobre la naturaleza del incidente, los datos comprometidos y las medidas adoptadas. | Sin demora injustificada |
| 5. Erradicación y recuperación | Eliminar la causa raíz del incidente, restaurar sistemas y datos, implementar controles adicionales. | Según complejidad |
| 6. Informe post-mortem | Documentar el incidente, las acciones tomadas, las lecciones aprendidas y las medidas correctivas implementadas. | 30 días desde la resolución |
11.3. Registro de incidentes
El Oficial de Seguridad de la Información debe mantener un registro de todos los incidentes con sus respectivas soluciones, clasificaciones de severidad y acciones correctivas, para reducir el tiempo de respuesta ante futuros incidentes y evidenciar el cumplimiento ante la SIC.
12. Política de cumplimiento de requisitos legales y contractuales
- Todos los colaboradores deben conocer, acatar y cumplir las normas vigentes en materia de seguridad de la información y protección de datos personales.
- El Oficial de Protección de Datos debe documentar todos los requerimientos legales y contractuales relacionados con la seguridad de la información.
- Se deben realizar auditorías internas anuales para verificar el cumplimiento de las políticas y procedimientos de seguridad de la información.
- Los resultados de las auditorías deben documentarse y conservarse por un período mínimo de cinco (5) años.
13. Política de derechos de propiedad intelectual
- No se permite el uso de software duplicado, pirateado o sin licencia en ningún equipo de la Empresa.
- Todo software utilizado en los equipos de Rilaxx debe contar con su respectiva licencia o ser software de uso libre (GPL u otra licencia abierta autorizada).
- El material registrado con derechos de autor no se debe copiar total ni parcialmente sin la autorización del titular.
- Todo material producido por los colaboradores en desarrollo de sus funciones durante el tiempo de contratación será propiedad intelectual exclusiva de Rilaxx, salvo pacto en contrario.
14. Política de privacidad y protección de datos personales
El Oficial de Protección de Datos es responsable de:
- Adelantar las investigaciones necesarias por posibles violaciones a las normas de protección de datos personales.
- Velar por la implementación de planes de auditoría interna para verificar el cumplimiento de las políticas y procedimientos en materia de protección de datos.
- Coordinar la capacitación periódica del personal en temas de protección de datos personales.
- Integrar la Política de Tratamiento de Datos Personales dentro de las actividades de todas las áreas.
- Coordinar la realización de un análisis de riesgos anual de protección de datos personales.
- Realizar los reportes de incidentes de seguridad en el Registro Nacional de Bases de Datos (RNBD) conforme a la Ley 1581 de 2012.
Esta política es complementaria a la Política de Tratamiento y Protección de Datos Personales y la Política de Cookies y Tecnologías Similares de Rilaxx.
15. Política de continuidad del negocio
- La Empresa debe identificar los servicios críticos de TI y establecer un Plan de Recuperación ante Desastres (DRP) que defina los procedimientos para restaurar la operación en el menor tiempo posible.
- Se deben realizar pruebas del plan de continuidad al menos una (1) vez al año para verificar su efectividad.
- El plan debe mantenerse actualizado ante cambios significativos en la infraestructura tecnológica, los proveedores o la normativa aplicable.
16. Política de auditoría y revisión
Se debe realizar una revisión interna anual que incluya, como mínimo:
- Estado de las bases de datos activas y su clasificación.
- Verificación de los controles de acceso lógico y físico.
- Revisión de logs de consentimiento y verificación de edad.
- Cumplimiento de tiempos de respuesta a solicitudes de titulares (consultas y reclamos).
- Estado de las copias de respaldo y pruebas de restauración.
- Evaluación de incidentes ocurridos y efectividad de las medidas correctivas.
- Cumplimiento de los acuerdos de confidencialidad con proveedores.
Los resultados de las auditorías se documentan en un informe de hallazgos y se conservan por un período mínimo de cinco (5) años. Los hallazgos críticos deben escalarse al representante legal para su atención inmediata.
17. Modificaciones a la presente Política
La presente Política de Seguridad de la Información será revisada y actualizada al menos una (1) vez al año, o cuando ocurran cambios significativos en la operación de la Empresa, la infraestructura tecnológica, el marco normativo aplicable, o como resultado de incidentes de seguridad que evidencien la necesidad de ajustes. Toda modificación debe ser aprobada por el representante legal y comunicada a todos los colaboradores.
18. Legislación aplicable y jurisdicción
La presente Política se rige por las leyes de la República de Colombia. Cualquier controversia derivada de su interpretación o aplicación se someterá a la jurisdicción de los jueces y tribunales competentes de la ciudad de Bogotá D.C.
19. Contacto
Empresa: RILAXX S.A.S.
NIT: 901.941.234-2
Representante legal: Andrés Camilo Lache
Domicilio: Bogotá D.C., Colombia
Correo electrónico: rilaxx04@gmail.com
Teléfono: +57 317 682 1333
Página web: www.rilaxx.com