1. Nuestro Compromiso con el Cumplimiento
En Winco, entendemos que el cumplimiento normativo no es opcional: es fundamental para construir confianza con nuestros clientes y proteger sus datos. Nos comprometemos a cumplir con todas las regulaciones aplicables y a mantener los más altos estándares de la industria.
Nuestro programa de cumplimiento es supervisado por un equipo dedicado que monitorea cambios regulatorios, implementa controles necesarios y garantiza adherencia continua a todas las normativas relevantes.
2. Marcos de Cumplimiento
🇪🇺 GDPR
Reglamento General de Protección de Datos de la Unión Europea
Cumplimiento Total🇨🇴 Ley 1581
Protección de Datos Personales en Colombia
Cumplimiento Total🇺🇸 CCPA
Ley de Privacidad del Consumidor de California
Cumplimiento Total📋 ISO 27001
Gestión de Seguridad de la Información
Certificado🔐 SOC 2 Type II
Controles de Seguridad y Confidencialidad
Certificado💳 PCI DSS
Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago
En Proceso3. Cumplimiento de Protección de Datos
3.1 GDPR (Reglamento General de Protección de Datos)
Cumplimos completamente con el GDPR de la UE, implementando:
- Bases legales claras: Para todo procesamiento de datos personales
- Consentimiento explícito: Cuando es requerido por la regulación
- Derechos de los interesados: Acceso, rectificación, supresión, portabilidad
- Privacidad por diseño: Incorporada en todos los sistemas
- Evaluaciones de impacto: Para procesamiento de alto riesgo
- Delegado de Protección de Datos (DPO): Disponible para consultas
- Transferencias internacionales: Solo con salvaguardas adecuadas
- Notificación de brechas: Dentro de 72 horas cuando aplique
3.2 Ley 1581 de 2012 (Colombia)
Cumplimos con la legislación colombiana de protección de datos:
- Autorización previa para tratamiento de datos personales
- Políticas de tratamiento de datos públicas y accesibles
- Registro ante la Superintendencia de Industria y Comercio
- Procedimientos para ejercicio de derechos ARCO (Acceso, Rectificación, Cancelación, Oposición)
- Protección especial para datos sensibles y de menores
- Transferencias internacionales con garantías adecuadas
3.3 CCPA (California Consumer Privacy Act)
Para usuarios en California, garantizamos:
- Derecho a saber qué información personal recopilamos
- Derecho a solicitar eliminación de datos
- Derecho a optar por no vender información (no vendemos datos)
- No discriminación por ejercer derechos CCPA
- Divulgación clara en nuestra política de privacidad
4. Certificaciones de Seguridad
4.1 ISO/IEC 27001:2013
Mantenemos certificación ISO 27001 para nuestro Sistema de Gestión de Seguridad de la Información (SGSI):
- Auditorías anuales de renovación
- Revisión continua de políticas y procedimientos
- Gestión de riesgos documentada
- Mejora continua del sistema de gestión
4.2 SOC 2 Type II
Completamos auditorías SOC 2 Type II anuales que evalúan:
- Seguridad: Protección contra acceso no autorizado
- Disponibilidad: Sistemas accesibles según compromisos
- Integridad de procesamiento: Procesamiento completo y preciso
- Confidencialidad: Protección de información confidencial
- Privacidad: Recopilación, uso y divulgación apropiados
Los reportes SOC 2 están disponibles bajo acuerdo de confidencialidad para clientes empresariales.
5. Cumplimiento Sectorial
5.1 Servicios Financieros
Para clientes en el sector financiero, cumplimos con:
- Requisitos de seguridad bancaria
- Normativas anti-lavado de dinero (AML)
- Conoce a tu Cliente (KYC) donde aplique
- Normativas de la Superintendencia Financiera de Colombia
5.2 Sector Salud
Aunque no somos primariamente una plataforma de salud, protegemos datos sensibles según:
- Principios de HIPAA para datos de salud
- Seguridad reforzada para información médica
- Segregación de datos sensibles
6. Residencia y Soberanía de Datos
6.1 Ubicación de Datos
Ofrecemos opciones de residencia de datos para cumplir con requisitos locales:
- Región primaria: Centros de datos en América Latina
- Opciones adicionales: Europa, Norte América
- Configuración por cliente: Selección de región de datos
- Sin transferencias sorpresa: Consentimiento para movimientos de datos
6.2 Transferencias Internacionales
Cuando se requieren transferencias internacionales de datos:
- Cláusulas contractuales estándar (SCC) de la UE
- Evaluaciones de adecuación de transferencia
- Medidas técnicas y organizativas adicionales
- Transparencia total sobre ubicaciones de datos
7. Subprocesadores y Proveedores
7.1 Gestión de Proveedores
Evaluamos rigurosamente a todos los subprocesadores:
- Due diligence de seguridad y privacidad
- Acuerdos de procesamiento de datos (DPA)
- Auditorías periódicas de cumplimiento
- Lista pública de subprocesadores
- Notificación de cambios a clientes empresariales
7.2 Subprocesadores Principales
Transparencia de Subprocesadores
Mantenemos una lista actualizada de subprocesadores en nuestra página de transparencia. Todos han sido evaluados y cumplen con nuestros estándares de seguridad y privacidad.
8. Gestión de Cumplimiento
8.1 Estructura de Gobernanza
- Comité de Cumplimiento: Supervisión ejecutiva
- Chief Compliance Officer (CCO): Liderazgo de programa
- Delegado de Protección de Datos (DPO): Privacidad y GDPR
- Oficial de Seguridad (CISO): Seguridad de la información
- Consejero Legal: Asesoría regulatoria
8.2 Políticas y Procedimientos
Mantenemos documentación completa de:
- Políticas de privacidad y protección de datos
- Procedimientos de gestión de incidentes
- Políticas de retención y eliminación de datos
- Estándares de seguridad y cifrado
- Procedimientos de respuesta a solicitudes de datos
8.3 Capacitación y Concientización
- Capacitación anual obligatoria en cumplimiento para todo el personal
- Entrenamiento especializado para roles con acceso a datos
- Actualizaciones sobre cambios regulatorios
- Cultura de compliance en toda la organización
9. Auditorías y Monitoreo
9.1 Auditorías Externas
- Auditoría SOC 2 Type II anual
- Auditoría ISO 27001 anual
- Revisiones de cumplimiento GDPR
- Evaluaciones de terceros independientes
9.2 Auditorías Internas
- Revisiones trimestrales de controles
- Auditorías de acceso a datos
- Evaluaciones de cumplimiento de políticas
- Pruebas de efectividad de controles
9.3 Monitoreo Continuo
- Seguimiento de cambios regulatorios
- Análisis de impacto de nuevas leyes
- Monitoreo de métricas de cumplimiento
- Alertas sobre desviaciones de políticas
10. Derechos de los Usuarios
10.1 Ejercicio de Derechos
Facilitamos el ejercicio de tus derechos de protección de datos:
- Acceso: Obtén copia de tus datos personales
- Rectificación: Corrige información inexacta
- Supresión: Solicita eliminación de tus datos
- Portabilidad: Recibe datos en formato estructurado
- Oposición: Objeta ciertos procesamiento de datos
- Limitación: Restringe cómo procesamos tus datos
10.2 Proceso de Solicitud
- Portal de autoservicio para solicitudes comunes
- Email dedicado: privacy@winco.com.co
- Respuesta dentro de 30 días (GDPR) o según regulación aplicable
- Verificación de identidad para proteger tus datos
- Sin costo para solicitudes razonables
11. Incidentes y Notificaciones
11.1 Gestión de Incidentes
En caso de incidente de seguridad o brecha de datos:
- Detección y contención inmediata
- Evaluación de impacto dentro de 24 horas
- Notificación a autoridades según plazos legales (72h GDPR)
- Comunicación transparente a usuarios afectados
- Análisis de causa raíz y mejoras
11.2 Registro de Incidentes
- Documentación completa de todos los incidentes
- Análisis de tendencias y patrones
- Reportes a comité de cumplimiento
- Lecciones aprendidas e implementación de mejoras
12. Evaluaciones de Impacto de Privacidad (PIA)
Realizamos evaluaciones de impacto cuando:
- Lanzamos nuevas características que procesan datos personales
- Implementamos nuevas tecnologías (ej. IA, ML)
- Cambiamos significativamente el procesamiento de datos
- Procesamos categorías especiales de datos a gran escala
13. Cumplimiento de IA y Tecnologías Emergentes
13.1 Uso Responsable de IA
Nuestros agentes de IA operan bajo principios éticos:
- Transparencia sobre uso de IA en decisiones
- Evaluaciones de sesgo y equidad
- Supervisión humana de decisiones críticas
- Explicabilidad de recomendaciones de IA
- Preparación para AI Act de la UE
13.2 Datos de Entrenamiento
- Nunca usamos datos de clientes para entrenar modelos generales
- Modelos específicos solo con consentimiento explícito
- Anonimización de datos de entrenamiento cuando posible
- Documentación completa de fuentes de datos
14. Compromiso de Mejora Continua
El cumplimiento no es un destino, sino un viaje continuo. Nos comprometemos a:
- Monitorear cambios en el panorama regulatorio
- Adoptar mejores prácticas emergentes
- Invertir en herramientas y tecnología de compliance
- Escuchar feedback de clientes y reguladores
- Actualizar controles según necesidades
15. Solicitar Documentación de Cumplimiento
Los clientes empresariales pueden solicitar:
- Reportes SOC 2 Type II (bajo NDA)
- Certificados ISO 27001
- Acuerdos de Procesamiento de Datos (DPA)
- Lista de subprocesadores
- Cuestionarios de seguridad personalizados
- Evidencia de cumplimiento específico
Contacta a nuestro equipo de compliance: compliance@winco.com.co
16. Contactos de Cumplimiento
¿Preguntas sobre Cumplimiento?
- Chief Compliance Officer: compliance@winco.com.co
- Delegado de Protección de Datos: dpo@winco.com.co
- Privacidad: privacy@winco.com.co
- Legal: legal@winco.com.co
- Seguridad: security@winco.com.co
17. Actualizaciones de esta Página
Actualizamos esta página regularmente para reflejar:
- Nuevas certificaciones obtenidas
- Cambios en regulaciones aplicables
- Mejoras en nuestro programa de cumplimiento
- Feedback de clientes y auditores
Última actualización: 8 de noviembre de 2025