Proceso: Seguridad de la Información

POLÍTICA RELACIÓN CON PROVEEDORES

Documento No: PL-SSI-03
Versión: 02
Fecha: 11/11/2022
Redactado por: Seguridad de la Información
DOCUMENTO APROBADO POR
Reviso Aprobó
Nombre Nelsy Mayerly Benavides López Álvaro Barbosa
Cargo Security Senior Analyst Risks & Information Security Manager
Fecha 09/11/2022 09/11/2022

Index

1. INTRODUCCIÓN

Para Sophos Solutions y sus filiales (en adelante “Sophos Solutions” o “La Organización”), es importante identificar y establecer los lineamientos y controles de Seguridad de la Información que permitan garantizar la protección y aseguramiento de los principios de integridad, confidencialidad y disponibilidad de la información, minimizando los riesgos asociados a la interceptación, copia, modificación, divulgación y eliminación no autorizada de información entre la compañía y su relación con Proveedores/terceros que presten servicios a La Compañía (en adelante “Proveedores”).
1.1 Objetivos
Establecer los lineamientos y controles de seguridad para terceros (proveedores) que tengan una relación contractual con la compañía.

Brindar a los proveedores o terceros de Sophos Solutions los mecanismos de protección y controles de seguridad adecuados al objeto de servicio contratado y bajo los estándares establecidos como aceptables por la organización.
1.2 Alcance
Esta política aplica para todos los proveedores de la Compañía que dentro de su relación contractual ofrezcan o tengan acceso a los servicios de infraestructura, plataforma tecnológica/sistemas de información, procesamiento, almacenamiento, intercambio, modificación y/o creación de información física, digital o de recurso humano con el fin de proteger la confidencialidad, integridad y disponibilidad de la información propiedad de Sophos Solutions.

2. POLÍTICA RELACIÓN CON PROVEEDORES

Esta política de relación con Proveedores hace parte integral de la Política de Seguridad de la Información y por tanto se considera de obligatorio cumplimiento y conocimiento para todos los proveedores y terceros relacionados con Sophos Solutions:
2.1 Seguridad de la Información en Relación co los Proveedoresos
  • Todo proveedor que preste servicios a La Compañía, y que tenga acceso a los activos de información debe contar con políticas, normas y estándares de Seguridad de la Información al interior de su organización, las cuales deberán desarrollarse y mantenerse actualizadas acorde con los riesgos a los que se vea enfrentada su organización. Estas Políticas deberán ser compartidas a Sophos Solutions antes de iniciar la prestación de los servicios, con el fin de que este las conozca y evalúe.
  • Se debe incluir dentro de los acuerdos pactados con proveedores los requisitos para tratar los riesgos de seguridad de la información asociados con la cadena de suministro de productos y servicios de Tecnología de información y comunicación, con el fin de garantizar que estos funcionen de la manera adecuada y esperada por la compañía.
  • Asimismo, todo proveedor que preste servicios a La Compañía, y que por el tipo de servicio que presta, deba acceder a la red de datos o áreas Restringidas dentro de las instalaciones de Sophos Solutions, deberá cumplir con los requisitos establecidos dentro de la Política de Acceso a Áreas Restringidas estipulada en el documento PL-SSI-01 ABC Seguridad de la Información. Esta política podrá ser solicitada a Sophos Solutions en el momento de la contratación.
  • Sophos Solutions realizará un análisis de seguridad asociado al servicio entregado por el proveedor con el fin de identificar brechas que puedan ser o convertirse en potenciales vulnerabilidades que puedan exponer o poner en riesgo la continuidad del servicio, confidencialidad, integridad o disponibilidad de la información propiedad de Sophos o que puedan materializar algún tipo de impacto reputacional, operativo o financiero para la compañía
  • Es deber del proveedor cerrar o dar tratamiento a las brechas identificadas en su servicio e informadas desde el área de Seguridad de la Información con el fin de dar estricto cumplimiento a lo solicitado por esta política.
  • En caso de que el proveedor requiera información de la compañía adicional a la autorizada o establecida en el acuerdo contractual o que no esté relacionada con el objeto de su servicio, será discreción del propietario de la información analizar los motivos de dicha solicitud y aprobar o rechazar el acceso o entrega de esta información, previo consentimiento del área de Seguridad de la Información.
  • Toda información confidencial de la compañía que deba ser intercambiada o transferida por parte del proveedor deberá realizarse de forma segura, utilizando mecanismos de cifrado y por medios seguros y autorizados por Sophos Solutions.
  • En caso de ser requerido el acceso a herramientas o activos tecnológicos de la compañía por parte del proveedor, se deberá realizar una solicitud de excepción de seguridad por medio del correo electrónico seguridad.info@sophossolutions.com o por medio del aplicativo interno Flow2l/Seguridad información/Excepción por parte del proceso responsable del seguimiento al proveedor. El Área de Seguridad de la información analizará los motivos de dicho requerimiento y procederá a otorgarlo o denegarlo. Dicho acceso será gestionado por el área de Infraestructura en caso de ser dado el aval por parte del área de Seguridad de la Información.
  • Se prohíbe expresamente el uso de los recursos proporcionados por Sophos Solutions para actividades no relacionadas con el servicio contratado.
  • Se prohíbe expresamente introducir o conectar en la red de Sophos Solutions cualquier tipo de malware (programas, macros, etc.), dispositivos lógicos, dispositivos físicos o cualquier otro tipo de secuencia de órdenes que causen o sean susceptibles de causar cualquier tipo de alteración o daño en los recursos informáticos y sistemas de información.
  • En caso de que el proveedor deba tener colaboradores en las oficinas de Sophos Solutions para el desarrollo de su obra o labor, éste deberá informar con días de antelación a las áreas Administrativa, de Infraestructura y Seguridad de la información mediante correo electrónico, el motivo de la visita, las fechas y horarios de asistencia en las instalaciones de Sophos, los elementos informáticos requeridos, los accesos a áreas restringidas (en caso de que la labor lo amerite) el o los procesos responsables de su estadía en las instalaciones, al igual que la respectiva identificación de las personas que asistirán. Estas personas deberán estar debidamente identificadas durante su permanencia en las instalaciones de la Compañía, portando en un lugar visible su identificación tal como lo relaciona la PL-SSI-01 ABC Seguridad de la Información en su política de acceso físico
  • Los proveedores responderán directamente por el acceso que sus empleados tengan a documentos confidenciales o accesos a herramientas de Sophos Solutions, y deberá entenderse que este acceso es estrictamente temporal, sin otorgarle derecho alguno de titularidad o copia sobre dicha información. Así mismo, el proveedor deberá devolver el o los soportes mencionados, inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos y, en cualquier caso, a la finalización de la relación contractual.
  • Toda instalación, configuración o mantenimiento por parte de proveedores a la infraestructura tecnológica de la compañía, tales como servidores, equipos de red, equipos de soporte, cableado estructurado, de energía, entre otros, deberá cumplir con los requerimientos establecidos por el área de Infraestructura y la normativa vigente. El área de Infraestructura será la responsable de verificar y validar estas configuraciones y/o mantenimientos, así como también de reportar las debilidades y oportunidades de mejora al proveedor.
2.2 Continuidad De Negocio en la Relación con Proveedores
  • Los proveedores deben de tener y aplicar buenas prácticas en continuidad de negocio, garantizando la prestación de los servicios a la organización en caso de que se presenten eventos disruptivos
  • Todo proveedor de Sophos Solutions debe de contar con planes de continuidad y recuperación de desastres debidamente documentados y probados, los cuales deberá entregar una vez formalizado el acuerdo contractual y como mínimo una vez al año junto con el informe de las pruebas de continuidad de negocio realizadas al correo continuidaddelnegocio@sophossolutions.com
2.3 Procedimiento General
Los proveedores deberán conocer y acatar los procedimientos mencionados en este capítulo, concernientes a la vinculación, desvinculación, continuidad del negocio y tratamiento de datos.

Los procesos de borrado seguro de la información, y reporte de incidentes, deberán ser definidos de acuerdo con los servicios específicos que preste el proveedor, sin embargo, Sophos Solutions establecerá procedimientos genéricos en caso de que estos no puedan o deban ser definidos en el momento de la contratación.
2.3.1 Procedimiento para la Vinculación – Desvinculación de Proveedores
Sophos Solutions establece un procedimiento general para la vinculación y desvinculación de Proveedores. No obstante, lo acá indicado pueden existir particularidades para cada proceso atendiendo a la necesidad especifica. Dichas particularidades serán expuestas a los Proveedores en el momento de vinculación o desvinculación.
2.3.2 Proceso de vinculación de proveedores
Para iniciar con el proceso de vinculación, el área de compras solicitará los siguientes documentos al proveedor:

En caso de ser persona jurídica:
  • Certificado de existencia y Representación Legal
  • RUT
  • Certificado de cuenta bancaria
  • Identificación del Representante Legal
  • Formato de vinculación de proveedores con autorización de búsqueda en listas restrictivas

En caso de ser persona natural:2
  • RUT
  • Certificado de cuenta bancaria
  • Identificación del Representante Legal
  • Formato de vinculación de proveedores con autorización de búsqueda en listas restrictivas

Una vez obtenidos los documentos anteriormente mencionados y, aceptada la autorización de búsqueda en listas restrictivas, el área de compras verificará que la información proporcionada por el proveedor sea concordante, y procederá con la verificación de la sociedad o persona natural en listas restrictivas.

En caso de obtener algún hallazgo en la búsqueda de listas restrictivas o alguna incoherencia en la información, esta, será reportada al área de riesgos de Sophos Solutions, para obtener sus consideraciones sobre la procedencia de la vinculación del Proveedor.

En caso de no obtener ningún hallazgo y encontrar todos los documentos concordantes, el área de compras procederá con el archivo de la documentación en los repositorios de Sophos Solutions y solicitará al outsourcing contable, la creación del proveedor.
2.3.3 Proceso de desvinculación de proveedores
Una vez finalizada la necesidad de la prestación del servicio del proveedor, el área solicitante, deberá informar al área de compras la intensión de desvincular al proveedor, sea cual sea la causa.

En caso de que la prestación del servicio del proveedor haya sido de ejecución instantánea, se enviará una carta comunicando el cumplimiento de los servicios con el visto bueno del área solicitante y, finalizará la relación contractual.

Si por el contrario, la prestación del servicio ha sido de ejecución sucesiva, y ha tenido un contrato con obligaciones especiales de por medio, el área de compras dará aviso al área legal para verificar que las obligaciones especiales contractuales hayan sido cumplidas y sea posible terminar el contrato de acuerdo con las cláusulas específicas del contrato, asimismo, se dará aviso al área solicitante para que den su visto bueno sobre el cumplimiento del objeto contractual.

Una vez surtida la etapa anterior, el área legal elaborará un comunicado de terminación del contrato y solicitará la firma de un acta que indicará la culminación, cumplimiento de las obligaciones contractuales.

El área de compras realizará junto con las áreas solicitantes e implicadas en la prestación del servicio, de acuerdo con las necesidades específicas una lista de comprobación de las obligaciones finales como: procesos de borrado seguro de la información, entrega o destrucción de información confidencial, entre otros.

Finalmente el área de compras solicitará la eliminación del proveedor en el outsourcing contable.
2.3.4 Procedimiento para el Borrado seguro de la Información
  • El proveedor deberá garantizar el borrado seguro de la información propiedad de Sophos Solutions de acuerdo con los parámetros establecidos por el área Legal y de Seguridad de la Información en las cláusulas contractuales incluidas dentro de los contratos de servicios. Este borrado deberá ser ejecutado una vez finalice la relación contractual entre las partes, así como también por solicitud expresa de Sophos en cualquier momento del vínculo contractual.
  • Previo al borrado seguro, el proveedor garantizará la entrega de una copia (backup) con toda la información a Sophos Solutions. El medio dispuesto para la entrega de esta copia será en común acuerdo entre las partes.
  • Una vez el proveedor haya generado el borrado de seguridad de la información propiedad de Sophos Solutions, deberá hacer entrega de un informe que relacione las evidencias del borrado (logs, pantallazos) y demás que considere pertinentes.
2.3.5 Procedimiento para Reportar incidentes de seguridad a Sophos
  • Los proveedores que tengan relación con almacenamiento, comunicación, infraestructura tecnológica, plataformas o sistemas de información que sean brindados o entregados a la compañía como parte del servicio contratado, deberán establecer y documentar procedimientos para la gestión de incidentes de seguridad y ciberseguridad, los cuales deben incluir datos tales como: la persona de contacto, número telefónico y/o correo electrónico. Esta información deberá ser documentada y formalizada entre las partes. Así mismo, Sophos Solutions podrá solicitar informes o evidencias que permitan validar el tratamiento dado en la gestión del incidente.
  • Los proveedores deberán reportar cualquier evento sospechoso o incidente de seguridad de la información asociado con fuga, pérdida o alteración de información de propiedad de la compañía, sus clientes y/o usuarios que comprometa la confidencialidad, integridad y confidencialidad de la información asociada a las actividades que desarrolla para Sophos Solutions S.A.S a la cuenta de correo seguridad.info@sophossolutions.com con un tiempo no mayor a 24 horas después de haberse materializo el incidente
  • El proveedor deberá cumplir las instrucciones emitidas por Sophos Solutions en relación con el incidente de seguridad reportado.
  • Es necesario obtener evidencia de lo ocurrido y los datos del o de las personas involucradas en el incidente. Esta evidencia deberá conservarse por un periodo de al menos 6 meses.
  • Es necesario implementar una estrategia o plan de atención al incidente de seguridad presentado con el fin de minimizar o reducir el impacto y la probabilidad de que vuelva ocurrir un incidente de igual o similares características.
2.4 Tratamiento de Datos
El presente Aviso de Privacidad (en adelante el “Aviso”) establece los términos y condiciones en virtud de los cuales Sophos Solutions, realizará el tratamiento de sus datos personales.
2.4.1 Tratamiento Y Finalidad
El tratamiento que realizará Sophos Solutions con la información personal será el siguiente: La recolección, almacenamiento, uso, circulación, solicitud de encuestas de satisfacción, entre otros relacionados con la operación de La Compañía, para efectuar las gestiones pertinentes para el desarrollo del objeto social de la compañía en lo que tiene que ver con el cumplimiento del objeto del contrato celebrado con el Titular de la información, entre otros relacionados.
2.4.2 Derechos del Titular de la Información
Como titular de sus datos personales usted tiene derecho a:
  • Acceder de forma gratuita a los datos proporcionados que hayan sido objeto de tratamiento.
  • Conocer, actualizar y rectificar su información frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté prohibido o no haya sido autorizado.
  • Solicitar prueba de la autorización otorgada.
  • Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas por infracciones a lo dispuesto en la normatividad vigente.
  • Revocar la autorización y/o solicitar la supresión del dato, siempre que no exista un deber legal o contractual que impida eliminarlos.
  • Abstenerse de responder las preguntas sobre datos sensibles. Tendrá carácter facultativo las respuestas que versen sobre datos sensibles o sobre datos de los niños y adolescentes.
2.4.3 Atención de Peticiones, Consultas y Reclamos
El canal por el cual usted podrá acceder a peticiones, consultas y reclamos relacionados con el tratamiento de datos es: habeasdata@sophossolutions.com
2.4.4 Mecanismos para conocer la Política de Tratamiento De Datos
El Titular puede acceder a nuestra Política de Tratamiento de información, la cual se encuentra publicada en medio electrónico en la página oficial de la Compañía Home – Sophos Solutions /Información Corporativa/ Política de Tratamiento de Datos.
2.5 Auditoría a Proveedores
Sophos Solutions se reserva el derecho de solicitar al Proveedor la realización de visitas programadas tanto de manera presencial como virtual (previo acuerdo entre las partes), y de acuerdo con lo previsto en los contratos, específicamente a aquellos que, por su servicio de resguardo o tratamiento de información, son considerados críticos para la compañía. Esto con el objetivo de verificar las condiciones de seguridad implementadas por el proveedor y proporcionar garantías en relación con los riesgos de terceros, incluida la garantía sobre los controles internos de los proveedores de servicios externos.
2.6 Difusión de la Política Relación con Proveedores
Sophos Solutions establecerá las directrices correspondientes para la difusión y entrega de estos lineamientos a cada proveedor con el cual tenga una relación contractual con el fin de dar cumplimiento y aplicación a lo requerido por la compañía.

“Sophos Solutions S.A.S. se reserva el derecho de modificar el presente documento según los cambios que surjan al interior de la compañía”