Tratamiento de Datos Personales

Documento: Manual Interno de Políticas y Procedimientos de Tratamiento de Datos Personales

Versión: v1.0 — 2026-04-20

Marco: Ley 1581 de 2012, Decreto 1377 de 2013, Circular Externa 002 de 2015 de la SIC.

1. Objeto

Este documento establece las políticas internas de HAYAI S.A.S. para garantizar la protección de los datos personales de sus Titulares y el cumplimiento del Régimen General de Protección de Datos Personales en Colombia.

2. Alcance

Aplica a todos los procesos internos, áreas, empleados, contratistas y Encargados del Tratamiento que participen en la recolección, almacenamiento, uso, circulación, transmisión o supresión de datos personales gestionados por HAYAI.

3. Principios Rectores

HAYAI aplica los principios establecidos en el artículo 4 de la Ley 1581:

Legalidad: el Tratamiento se regula por las normas vigentes.
Finalidad: los datos se tratan para fines legítimos, informados al Titular.
Libertad: el Tratamiento requiere consentimiento previo del Titular.
Veracidad: la información debe ser exacta y actualizada.
Transparencia: se garantiza al Titular su derecho a obtener información.
Acceso restringido: los datos son de circulación restringida.
Seguridad: se implementan medidas técnicas y administrativas para su protección.
Confidencialidad: todas las personas que intervienen en el Tratamiento guardan reserva.

4. Áreas Responsables

Área	Rol
Oficial de Protección de Datos (DPO)	Vela por el cumplimiento, atiende peticiones de Titulares y coordina con la SIC. Contacto: privacidad@hayai.com.co.
Tecnología	Implementa medidas técnicas de seguridad, cifrado y control de acceso.
Operaciones	Controla acceso interno y maneja la relación con Mensajeros.
Legal	Revisa contratos con Encargados y atiende requerimientos judiciales.

5. Procedimiento para Atención de Consultas y Reclamos

5.1. Consultas

El Titular envía la consulta al correo privacidad@hayai.com.co.
HAYAI acusa recibo en máximo 2 días hábiles.
Se responde en máximo 10 días hábiles, prorrogables por 5 días adicionales, previa comunicación al Titular.

5.2. Reclamos

El Titular presenta reclamo con: identificación, descripción de los hechos, documentos de soporte y datos de contacto.
Si el reclamo está incompleto, HAYAI solicita subsanación en 5 días hábiles. Si el Titular no responde en 2 meses, se entiende que desistió.
HAYAI inserta la leyenda "reclamo en trámite" en la base de datos en máximo 2 días hábiles.
Se responde en máximo 15 días hábiles, prorrogables por 8 días más con justificación.

6. Medidas de Seguridad

6.1. Técnicas

TLS 1.2+ para todas las comunicaciones.
Cifrado en reposo para base de datos (AES-256).
Hash de contraseñas con bcrypt (factor ≥12).
Autenticación con JWT y rotación automática.
Firewall perimetral y protección DDoS (Cloudflare).
Copias de respaldo periódicas con cifrado.
Registros de auditoría de accesos y cambios (order_status_audit, tenant_activity).
Monitoreo 24/7 (UptimeRobot, Sentry).

6.2. Administrativas

Cláusulas de confidencialidad firmadas por empleados y contratistas.
Capacitaciones anuales sobre protección de datos.
Controles de acceso por rol (RBAC) con principio de mínimo privilegio.
Política de escritorio limpio y bloqueo automático de sesiones.
Acuerdos de Tratamiento con todos los Encargados.
Protocolo de respuesta a incidentes y notificación a la SIC.

7. Transmisión Internacional de Datos

HAYAI utiliza proveedores internacionales (Railway, Vercel, Cloudinary, Google Cloud, Expo, Sentry, Cloudflare, Upstash) cuya información detallada se encuentra en la Política de Privacidad. Todos los proveedores cumplen estándares internacionales (SOC 2, ISO 27001) y cuentan con Data Processing Agreements firmados.

8. Conservación y Supresión

Los datos se conservan durante la relación contractual y por los términos legales aplicables (diez años para soportes tributarios). Al vencer los plazos o al solicitar supresión el Titular (siempre que no exista obligación legal de conservar), los datos se eliminan o anonimizan de forma segura.

9. Gestión de Incidentes de Seguridad

Detección: por monitoreo técnico o reporte externo.
Contención: aislamiento del incidente, revocación de credenciales.
Evaluación: alcance, datos afectados, Titulares impactados.
Notificación: a la SIC dentro de los plazos legales y a los Titulares afectados.
Remediación: corrección de vulnerabilidades y mejora de controles.
Documentación: bitácora completa del incidente.

10. Registro Nacional de Bases de Datos (RNBD)

HAYAI inscribirá sus bases de datos que contengan datos personales en el Registro Nacional de Bases de Datos administrado por la SIC, conforme al Decreto 1074 de 2015, cuando corresponda por el volumen de Titulares.

11. Actualización de Políticas

Este Manual se revisa al menos anualmente y se actualiza cuando haya cambios normativos o incidentes que lo ameriten. La versión vigente se publica en esta página.

12. Vigencia

Este Manual entra en vigor desde su fecha de publicación y rige de manera indefinida hasta su actualización.

Documento: Manual Interno de Políticas y Procedimientos de Tratamiento de Datos Personales

Versión: v1.0 — 2026-04-20

Marco: Ley 1581 de 2012, Decreto 1377 de 2013, Circular Externa 002 de 2015 de la SIC.

1. Objeto

2. Alcance

3. Principios Rectores

HAYAI aplica los principios establecidos en el artículo 4 de la Ley 1581:

Legalidad: el Tratamiento se regula por las normas vigentes.
Finalidad: los datos se tratan para fines legítimos, informados al Titular.
Libertad: el Tratamiento requiere consentimiento previo del Titular.
Veracidad: la información debe ser exacta y actualizada.
Transparencia: se garantiza al Titular su derecho a obtener información.
Acceso restringido: los datos son de circulación restringida.
Seguridad: se implementan medidas técnicas y administrativas para su protección.
Confidencialidad: todas las personas que intervienen en el Tratamiento guardan reserva.

4. Áreas Responsables

Área	Rol
Oficial de Protección de Datos (DPO)	Vela por el cumplimiento, atiende peticiones de Titulares y coordina con la SIC. Contacto: privacidad@hayai.com.co.
Tecnología	Implementa medidas técnicas de seguridad, cifrado y control de acceso.
Operaciones	Controla acceso interno y maneja la relación con Mensajeros.
Legal	Revisa contratos con Encargados y atiende requerimientos judiciales.

5. Procedimiento para Atención de Consultas y Reclamos

5.1. Consultas

El Titular envía la consulta al correo privacidad@hayai.com.co.
HAYAI acusa recibo en máximo 2 días hábiles.
Se responde en máximo 10 días hábiles, prorrogables por 5 días adicionales, previa comunicación al Titular.

5.2. Reclamos

El Titular presenta reclamo con: identificación, descripción de los hechos, documentos de soporte y datos de contacto.
Si el reclamo está incompleto, HAYAI solicita subsanación en 5 días hábiles. Si el Titular no responde en 2 meses, se entiende que desistió.
HAYAI inserta la leyenda "reclamo en trámite" en la base de datos en máximo 2 días hábiles.
Se responde en máximo 15 días hábiles, prorrogables por 8 días más con justificación.

6. Medidas de Seguridad

6.1. Técnicas

TLS 1.2+ para todas las comunicaciones.
Cifrado en reposo para base de datos (AES-256).
Hash de contraseñas con bcrypt (factor ≥12).
Autenticación con JWT y rotación automática.
Firewall perimetral y protección DDoS (Cloudflare).
Copias de respaldo periódicas con cifrado.
Registros de auditoría de accesos y cambios (order_status_audit, tenant_activity).
Monitoreo 24/7 (UptimeRobot, Sentry).

6.2. Administrativas

Cláusulas de confidencialidad firmadas por empleados y contratistas.
Capacitaciones anuales sobre protección de datos.
Controles de acceso por rol (RBAC) con principio de mínimo privilegio.
Política de escritorio limpio y bloqueo automático de sesiones.
Acuerdos de Tratamiento con todos los Encargados.
Protocolo de respuesta a incidentes y notificación a la SIC.

7. Transmisión Internacional de Datos

8. Conservación y Supresión

9. Gestión de Incidentes de Seguridad

Detección: por monitoreo técnico o reporte externo.
Contención: aislamiento del incidente, revocación de credenciales.
Evaluación: alcance, datos afectados, Titulares impactados.
Notificación: a la SIC dentro de los plazos legales y a los Titulares afectados.
Remediación: corrección de vulnerabilidades y mejora de controles.
Documentación: bitácora completa del incidente.

10. Registro Nacional de Bases de Datos (RNBD)

11. Actualización de Políticas

Este Manual se revisa al menos anualmente y se actualiza cuando haya cambios normativos o incidentes que lo ameriten. La versión vigente se publica en esta página.

12. Vigencia

Este Manual entra en vigor desde su fecha de publicación y rige de manera indefinida hasta su actualización.

Documentos legales

1. Objeto

2. Alcance

3. Principios Rectores

4. Áreas Responsables

5. Procedimiento para Atención de Consultas y Reclamos

5.1. Consultas

5.2. Reclamos

6. Medidas de Seguridad

6.1. Técnicas

6.2. Administrativas

7. Transmisión Internacional de Datos

8. Conservación y Supresión

9. Gestión de Incidentes de Seguridad

10. Registro Nacional de Bases de Datos (RNBD)

11. Actualización de Políticas

12. Vigencia

Documentos legales

1. Objeto

2. Alcance

3. Principios Rectores

4. Áreas Responsables

5. Procedimiento para Atención de Consultas y Reclamos

5.1. Consultas

5.2. Reclamos

6. Medidas de Seguridad

6.1. Técnicas

6.2. Administrativas

7. Transmisión Internacional de Datos

8. Conservación y Supresión

9. Gestión de Incidentes de Seguridad

10. Registro Nacional de Bases de Datos (RNBD)

11. Actualización de Políticas

12. Vigencia