Saltar a contenido

Términos de seguridad de la información

El PROVEEDOR proporcionará los Servicios y cumplirá con sus obligaciones en virtud del Acuerdo de conformidad con:

un. (I) estos Términos de seguridad de la información

B. (ii) Buenas prácticas de seguridad

1. DEFINICIONES

un. “Activo” significará cualquier elemento o elemento de hardware y software que se utilice o pueda utilizarse con el fin de crear, acceder, procesar, proteger, monitorear, almacenar, recuperar, mostrar o transmitir datos del CLIENTE.

b. “Datos del CLIENTE” significará cualquier dato que el CLIENTE, o una persona que actúe en su nombre, proporcione al PROVEEDOR, o permita al PROVEEDOR acceder y procesar, en relación con el Acuerdo.

do. “Cifrado” significará el proceso de convertir información o datos en un código, especialmente para evitar el acceso no autorizado.

d. “Parche” significará cualquier actualización de software y sistema operativo (SO) que solucione vulnerabilidades de seguridad dentro de un programa o producto.

mi. “Prueba de penetración” significará un ciberataque simulado autorizado a un sistema informático, realizado para evaluar la seguridad del sistema.

F. “Sistema del PROVEEDOR” significará cualquier Sistema o Activo que sea propiedad o esté administrado (en su totalidad o en parte) para su operación por o en nombre del PROVEEDOR o cualquiera de sus Afiliados.

gramo. “Incidente de Seguridad” significará un incidente, evento y/o problema que resultó en un compromiso real de la confidencialidad, integridad y/o disponibilidad de los datos del CLIENTE y/o del Servicio.

h. “Entorno de producción” significará el entorno donde se almacenan y procesan los datos del CLIENTE.

i. “Entorno de prueba” significará un entorno puesto a disposición para probar programas o productos de software desarrollados recientemente antes de su lanzamiento en un entorno de producción.

j. “Vulnerabilidad” significará la existencia de una debilidad/falla encontrada dentro del sistema.

k. “Tráfico artificialmente inflado” significa cualquier tráfico generado por medios automatizados o fraudulentos, incluidos, entre otros, bots, granjas de clics o cualquier otro medio destinado a inflar artificialmente los volúmenes de tráfico.

2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

El PROVEEDOR deberá:

2.1. Defina, documente, implemente y mantenga políticas de seguridad que cumplan con los estándares de la industria, mientras: - garantizar que se mantengan la confidencialidad, integridad y disponibilidad de los datos y los sistemas de información. - cumplir con los requisitos legales y reglamentarios a los que el CLIENTE y los Datos del CLIENTE puedan estar sujetos.

2.2. revisar sus políticas y procedimientos anualmente y/o en respuesta a cualquier cambio significativo.

2.3. garantizar que las políticas de seguridad estén documentadas y aprobadas por la dirección del PROVEEDOR y publicadas y comunicadas a las partes interesadas relevantes.

2.4. asegurarse de que tengan la cantidad requerida de profesionales de seguridad que serán responsables de coordinar y monitorear todas las funciones, políticas y procedimientos de seguridad de la información.

2.5. mantener un proceso de validación periódica interna y externa de la efectividad de sus controles de seguridad. El PROVEEDOR abordará y resolverá de inmediato cualquier deficiencia en la medida necesaria para cumplir con las obligaciones del PROVEEDOR en virtud del Acuerdo y estos Términos.

3. FORMACIÓN EN RECURSOS HUMANOS Y SEGURIDAD

El PROVEEDOR deberá:

3.1. definir, documentar, implementar y mantener una política y un procedimiento de verificación de antecedentes adecuados. Las verificaciones pueden incluir la educación del individuo y su historial laboral previo, antecedentes penales, verificaciones de referencias y cualquier requisito adicional de verificación de antecedentes estándar de la industria de acuerdo con las leyes y regulaciones pertinentes y aplicables.

3.2. Llevar a cabo verificaciones de antecedentes de todos los empleados nuevos y existentes, incluidos los empleados contratados.

3.3. Garantizar que todos los empleados estén sujetos a un acuerdo de confidencialidad adecuado.

3.4. definir, documentar, implementar y mantener una capacitación formal de concientización sobre seguridad y privacidad para todos los empleados. El PROVEEDOR se asegurará de que dichas capacitaciones se brinden antes de otorgar permiso para acceder o usar información confidencial y de manera continua a partir de entonces.

4. GESTIÓN DE ACTIVOS

El PROVEEDOR deberá:

4.1. definir, documentar, implementar y mantener un inventario preciso y actualizado que registre todo el hardware y software, con información del propietario y ubicación de cada uno.

4.2. garantizar que solo las aplicaciones de software y/o sistemas operativos actualmente admitidos y/o que reciben actualizaciones del proveedor se agreguen al inventario de software autorizado del PROVEEDOR.

4.3. asegúrese de que todo el software y hardware que soporta el EOL (fin de vida útil) se retire del uso y que el inventario se actualice de manera oportuna.

4.4. definir reglas para el uso aceptable de la información y de los activos asociados con la información y el procesamiento de la información.

4.5. garantizar que toda la información se clasifique en términos de requisitos legales, valor, criticidad y sensibilidad, y se maneje de acuerdo con su etiqueta de clasificación.

4.6. garantizar el manejo y eliminación adecuados de los datos del CLIENTE de los sistemas del PROVEEDOR: - la eliminación de los registros de datos del CLIENTE debe realizarse de manera segura para garantizar que los datos sean irrecuperables. - el certificado de eliminación debe estar disponible para cualquier solicitud ad hoc del CLIENTE de eliminación de datos.

5. CONTROL DE ACCESO

5.1. Disposiciones generales

El PROVEEDOR deberá:

5.1.1. definir, documentar, implementar y mantener políticas y procedimientos de control de acceso sobre la base de las necesidades comerciales y el principio de "mínimo privilegio" y garantizar que solo los empleados autorizados tengan acceso a los sistemas del PROVEEDOR.

5.1.2. garantizar que solo se utilicen identificaciones únicas y documentar cualquier excepción y uso de cuentas compartidas.

5.1.3. Asegúrese de que cualquier acceso a los sistemas del PROVEEDOR que almacenen o procesen datos del CLIENTE esté sujeto a la autenticación multifactor (MFA).

5.1.4. periódicamente, al menos una vez al año, revisar la idoneidad de los privilegios de usuario asignados.

5.1.5. garantizar que las actividades de gestión de usuarios (adición, modificación o eliminación de privilegios de usuario) se realicen en base a una solicitud formal válida y de manera oportuna.

5.2. SEGURIDAD DE ACCESO REMOTO

El PROVEEDOR deberá:

5.2.1. garantizar que se implemente un conjunto adecuado de controles de seguridad para evitar el acceso remoto no autorizado a los sistemas del PROVEEDOR. Dichos controles incluirán al menos: - Cualquier acceso remoto a los Sistemas y/o Red del PROVEEDOR será únicamente a través de VPN y Autenticación Multifactor (MFA). - Todos los datos que viajan a través de un mecanismo de acceso remoto se cifrarán desde el punto final (por ejemplo, una computadora portátil) a la red. - Todos los intentos de conectarse a los Sistemas del PROVEEDOR utilizando un mecanismo de acceso remoto no autorizado serán rechazados y registrados. - La actividad sospechosa se manejará de acuerdo con los protocolos de seguridad pertinentes.

5.3. GESTIÓN DE CONTRASEÑAS

El PROVEEDOR deberá:

5.3.1. definir, documentar, implementar y mantener una política de contraseñas de acuerdo con las mejores prácticas de la industria y las necesidades comerciales internas.

5.3.2. asegúrese de que las contraseñas tengan suficiente longitud y complejidad, no contengan palabras fáciles de adivinar y se cambien a intervalos regulares.

5.3.3. asegúrese de que las cuentas de usuario estén bloqueadas después de una cierta cantidad de intentos fallidos de ingresar la contraseña incorrecta y que la cuenta esté bloqueada durante un cierto período de tiempo.

5.3.4. Asegúrese de que las contraseñas se almacenen de forma segura para que sean ininteligibles mientras sigan siendo válidas.

6. CRIPTOGRAFÍA

El PROVEEDOR deberá:

6.1. definir, documentar, implementar y mantener políticas y procedimientos relevantes que regulen el uso de controles criptográficos apropiados y los procesos de gestión de claves que establezcan las reglas de uso, protección y vida útil de las claves criptográficas y el material de claves.

6.2. Asegúrese de que los datos del CLIENTE estén protegidos mientras están en tránsito o en reposo mediante protocolos seguros (por ejemplo, TLS 1.2, AES-256 u otros estándares recomendados por la industria).

6.3. gestionar todas las claves de cifrado en un sistema de gestión de claves que es propiedad del PROVEEDOR y está operado por él.

6.4. garantizar una segregación adecuada de las funciones dentro del proceso de gestión de claves de cifrado.

7. SEGURIDAD FÍSICA Y AMBIENTAL

El PROVEEDOR deberá:

7.1. definir, documentar, implementar y mantener políticas y procedimientos de seguridad física para evitar el acceso físico no autorizado, daños e interferencias a la información de la organización y a las instalaciones de procesamiento de información que almacenan datos del CLIENTE.

7.2. implementar procesos y controles de seguridad física y ambiental en línea con políticas y procedimientos definidos. El PROVEEDOR puede subcontratar algunos o todos los controles de seguridad física a un tercero y deberá garantizar que existan controles del mismo nivel y evaluar periódicamente el cumplimiento del tercero.

7.3. Asegúrese de que las áreas seguras estén protegidas por controles de entrada adecuados y que solo se permita el acceso al personal autorizado.

7.4. Asegúrese de que todos los visitantes estén autorizados, tengan la identificación adecuada y solo tengan acceso a las áreas necesarias.

7.5. Asegúrese de que se utilicen gabinetes con cerradura para proteger la información confidencial.

7.6. Asegúrese de que el equipo que contiene medios de almacenamiento se sobrescriba de forma segura antes de desecharlo o reutilizarlo.

7.7. garantizar que se aplique una política de escritorio claro y una política de pantalla clara para las instalaciones de procesamiento de información.

8. SEGURIDAD DE LAS OPERACIONES

El PROVEEDOR deberá:

8.1. definir, documentar, implementar y mantener procedimientos operativos de seguridad para copias de seguridad, protección de terminales, gestión de vulnerabilidades, antivirus y antimalware, parches, fortalecimiento del sistema y registro.

8.2. realizar evaluaciones de vulnerabilidad y pruebas de penetración de forma regular de acuerdo con las mejores prácticas de la industria y las necesidades comerciales internas. El PROVEEDOR también realizará una evaluación de riesgos, seguida de una solución de los problemas identificados.

8.3. garantizar que las vulnerabilidades se manejen de acuerdo con una priorización definida y dentro de los plazos de resolución requeridos.

8.4. aplicar parches y actualizaciones a todos los niveles de infraestructura de acuerdo con la priorización definida.

8.5. Asegúrese de que los puntos finales, los servidores, los dispositivos de almacenamiento, las puertas de enlace de correo/web y el tráfico de correo estén protegidos con herramientas antimalware activas cuando sea técnicamente posible detectarlas y, siempre que sea posible, prevenir infecciones de malware.

8.6. crear copias de seguridad de información, software e imágenes del sistema y probarlas periódicamente de acuerdo con las mejores prácticas de la industria y las necesidades comerciales internas.

8.7. garantizar que se realice un registro adecuado, con suficientes detalles y mantenido de acuerdo con períodos de retención definidos, mientras se protege contra manipulación y acceso no autorizado.

8.8. definir, documentar, implementar y mantener reglas que rigen la instalación de software por parte de los usuarios.

8.9. definir, documentar, implementar y mantener estándares para la configuración segura de puntos finales, incluidos, entre otros, computadoras portátiles, servidores, máquinas virtuales, bases de datos y dispositivos de red para proteger contra la pérdida de confidencialidad, integridad y disponibilidad de los datos del CLIENTE en reposo y en tránsito.

9. SEGURIDAD DE REDES Y COMUNICACIONES

El PROVEEDOR deberá:

9.1. definir, documentar, implementar y mantener mecanismos de seguridad y requisitos de gestión de todos los servicios de red.

9.2. definir, documentar, implementar y mantener estándares sólidos de configuración de seguridad y cifrado para proteger la comunicación a través de redes públicas y no públicas.

9.3. garantizar que los relojes de todos los sistemas de procesamiento de información relevantes estén sincronizados con una única fuente horaria de referencia.

9.4. Supervise el tráfico web y el perímetro de la red para detectar ataques cibernéticos y bloquear servicios, páginas web y tráfico maliciosos.

9.5. Asegúrese de que los cambios en las reglas del firewall se controlen mediante un proceso formal de solicitud/aprobación y se revisen periódicamente.

9.6. restringir y controlar el acceso a las organizaciones de acuerdo con las mejores prácticas de la industria y las necesidades comerciales internas.

9.7. garantizar que se aplique el modelo de zonificación y que la red esté segmentada adecuadamente, mientras que solo se permita el acceso y el tráfico aprobados en cada segmento.

10. CICLO DE VIDA DEL DESARROLLO DE SOFTWARE (SDLC)

El PROVEEDOR deberá:

10.1. establecer un ciclo de vida de desarrollo seguro para garantizar que los Servicios se desarrollen y mantengan de manera segura.

10.2. controlar los cambios en los sistemas dentro del ciclo de vida de desarrollo mediante procedimientos formales de control de cambios.

10.3. Garantizar que los entornos de desarrollo, pruebas y producción estén segregados para reducir los riesgos de acceso no autorizado o cambios en el entorno de producción.

10.4. garantizar que los requisitos relacionados con la seguridad de la información se incluyan en los requisitos para nuevos Servicios o mejoras a los Servicios existentes.

10.5. Asegúrese de que los datos de prueba se creen de manera cuidadosa y controlada, y que los datos de producción no se utilicen con fines de prueba.

11. RELACIONES CON PROVEEDORES

El PROVEEDOR deberá:

11.1. definir, documentar, implementar y mantener políticas y procedimientos de gestión de relaciones con proveedores que definan principios y reglas básicos para gestionar las relaciones con proveedores que cumplan con los requisitos comerciales y de seguridad, así como con las regulaciones, mejores prácticas y estándares internacionales aplicables.

11.2. Para cada proveedor que pueda acceder, procesar o almacenar datos del CLIENTE, el PROVEEDOR deberá evaluar y documentar el cumplimiento de la solución del proveedor. Para los proveedores críticos, incluidos los subprocesadores, la reevaluación se realizará anualmente.

11.3. garantizar que todos los requisitos de seguridad de la información relevantes se establezcan y acuerden con cada proveedor que pueda acceder, procesar o almacenar datos del CLIENTE.

11.4. garantizar que exista un acuerdo válido que defina el alcance del trabajo, la confidencialidad, la seguridad y los requisitos técnicos (si corresponde) de la relación comercial con cada proveedor que pueda acceder, procesar o almacenar datos del CLIENTE.

12. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

El PROVEEDOR deberá:

12.1. definir, documentar, implementar y mantener un proceso formal para informar, responder y gestionar incidentes de seguridad de la información. Esto incluirá como mínimo: - Un procedimiento para informar dichos incidentes/infracciones a la dirección adecuada dentro de la organización del PROVEEDOR. - Un proceso de identificación, evaluación y manejo de incidentes de seguridad de la información. - Un equipo claramente designado para gestionar y coordinar la respuesta a un incidente. - Un proceso documentado y probado para gestionar la respuesta a un incidente, incluido el requisito de mantener registros de acciones y problemas apropiados para incluir el momento en que ocurrió el incidente, la persona que informó el incidente, a quién se informó y los efectos del mismo. - Se confirma el requisito de notificar al CLIENTE de manera oportuna, y a más tardar 72 horas después del incidente de seguridad de la información y el impacto negativo en los servicios prestados al CLIENTE. Se aplicará un período de notificación más corto si dicho requisito se basa en la legislación y/o regulación aplicable. - El equipo de gestión de incidentes del PROVEEDOR trabajará, en su caso, junto con los representantes de seguridad del CLIENTE hasta que el incidente de seguridad de la información haya sido resuelto satisfactoriamente. - El PROVEEDOR deberá alinearse con todas las regulaciones y legislaciones nacionales con respecto a la notificación de incidentes de seguridad de la información hacia las autoridades policiales, regulatorias o cualquier otra autoridad nacional.

13. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

El PROVEEDOR deberá:

13.1. definir, documentar, implementar y mantener un Programa de Continuidad del Negocio.

13.2. identificar y priorizar los productos y servicios críticos de SMSBAT mediante un proceso de Análisis de Impacto Empresarial (BIA).

13.3. utilizar información y métodos de evaluación de riesgos para evaluar la amenaza de interrupción.

13.4. Con base en los resultados del Análisis de Impacto Empresarial y Evaluación de Riesgos, desarrollar estrategias de respuesta y recuperación para mitigar el impacto en los servicios críticos durante un incidente disruptivo.

13.5. Desarrollar planes de continuidad y recuperación del negocio que sean adecuados para su propósito, revisados ​​periódicamente, disponibles y fáciles de seguir y comprender.

13.6. Desarrollar planes de gestión de crisis y comunicación para una gestión eficaz de la crisis, priorización en la comunicación y formas de alerta de los incidentes.

13.7. brindar capacitación y ejercicios, desarrollados en función de las competencias requeridas y entregados a los empleados con una responsabilidad directa de continuidad del negocio.

13.8. Mejorar continuamente el Programa de Continuidad del Negocio de SMSBAT a través de evaluaciones periódicas y teniendo en cuenta cualquier cambio en los requisitos legales y reglamentarios.

14. CUMPLIMIENTO

El PROVEEDOR deberá:

14.1. Someterse a auditorías periódicas de acuerdo con los estándares de la industria anualmente. A petición escrita del CLIENTE, el PROVEEDOR deberá proporcionar al CLIENTE una copia completa o resumida, según corresponda, de sus informes vigentes en ese momento. El PROVEEDOR también proporcionará, a más tardar diez (10) días hábiles, respuestas por escrito a todas las solicitudes razonables (cuestionarios, formularios, etc.) realizadas por el CLIENTE con el fin de verificar que el PROVEEDOR esté cumpliendo con los requisitos establecidos en estos Términos.

14.2. En la medida en que lo requiera la regulación aplicable, una vez al año con al menos 30 días calendario de notificación previa, el PROVEEDOR permitirá al CLIENTE, sus respectivos auditores u otros agentes (cada uno una "Parte Auditora") acceder a las instalaciones, registros y documentos del Proveedor según lo requiera razonablemente la Parte Auditora para verificar que el PROVEEDOR esté cumpliendo con los requisitos establecidos en estos Términos. Cualquier revisión de conformidad con este párrafo no requerirá la revisión de datos de terceros y se le podrá exigir a la Parte Auditora que celebre un acuerdo de confidencialidad con el PROVEEDOR según sea razonablemente necesario para respetar la confidencialidad de la información de la que la Parte Auditora pueda tener conocimiento durante la realización de la revisión. Cada Parte correrá con sus propios costos en relación con dicha auditoría. En caso de que la auditoría revele un incumplimiento de las obligaciones del PROVEEDOR en virtud de estos Términos, el PROVEEDOR rectificará dicho incumplimiento dentro de un plazo mutuamente acordado y asumirá los costos de dichas acciones.

14.3. El PRESTADOR se reserva el derecho de imponer limitaciones y restricciones a la exhibición de información confidencial interna y a la realización de copias de cualquier prueba solicitada en los puntos 14.1 y 14.2.

15. REQUISITOS DE SEGURIDAD DEL CLIENTE

15.1. Medidas generales de seguridad

El PROVEEDOR deberá:

15.1.1. El PROVEEDOR ha definido, documentado, implementado y mantiene recomendaciones de seguridad para los CLIENTES que utilizan sus servicios de comunicación en la nube. El CLIENTE deberá revisar dichas recomendaciones e implementarlas de acuerdo con sus necesidades comerciales, capacidad técnica y apetito de riesgo.

15.1.2. El CLIENTE será totalmente responsable de la configuración adecuada de las medidas de seguridad de su parte y no impondrá ninguna responsabilidad al PROVEEDOR en caso de un incidente de seguridad resultante de una configuración inadecuada de las medidas técnicas y de seguridad o negligencia en la implementación de las medidas recomendadas por el PROVEEDOR.

15.2. Medidas de mitigación de seguridad del AIT

El PROVEEDOR deberá:

15.2.1. El PROVEEDOR ha definido, documentado y mantiene pautas de seguridad para la prevención de casos de fraude.

15.2.2. Puede surgir un riesgo potencial en el sitio web o la aplicación móvil del CLIENTE integrada con los sistemas del PROVEEDOR si un registro u otro formulario que ejecuta SMS MT con OTP no está protegido con un mecanismo anti-bot como CAPTCHA. Las vulnerabilidades en dichas aplicaciones pueden provocar ataques de tráfico inflado artificialmente (AIT). Un mecanismo anti-bot como CAPTCHA es esencial para proteger el flujo de registro de usuarios de registros falsos automatizados que ejecutan SMS MT con OTP.

15.2.3. Cuando ocurren ataques AIT, el tráfico se envía a la infraestructura del PROVEEDOR con la dirección IP de origen utilizada por el CLIENTE en el momento del envío. El contenido SMS MT del tráfico es indistinguible del tráfico genuino del CLIENTE. En ausencia de comentarios del CLIENTE, el PROVEEDOR no puede diferenciar entre el AIT en la aplicación del CLIENTE y el tráfico genuino de la misma aplicación. En consecuencia, el PRESTADOR no se hace responsable de la seguridad de la(s) aplicación(es) web o móvil del CLIENTE. El CLIENTE reconoce además que todo el tráfico recibido de la infraestructura del CLIENTE se enrutará a los Operadores de Red y se cobrará al CLIENTE de acuerdo con los términos del Acuerdo.

15.2.4. Bloquear las redes afectadas no evitaría que vuelva a ocurrir un problema similar en las redes habilitadas, ya que la causa principal del problema radica en la infraestructura del CLIENTE. Por lo tanto, es imperativo que el CLIENTE dirija todos los formularios en su sitio web o aplicación móvil que ejecuten códigos SMS MT OTP.

15.3. Solicitud de aumento del límite de crédito

El PROVEEDOR deberá:

15.3.1. El límite puede agotarse rápidamente si no se abordan las vulnerabilidades en el sitio web del CLIENTE. Por lo tanto, el PROVEEDOR solicita la confirmación del CLIENTE de su conocimiento de los riesgos y comprensión de las posibles consecuencias del aumento del límite de crédito.

15.3.2. Al solicitar un aumento en el límite de crédito, el CLIENTE reconoce la responsabilidad por cualquier pérdida potencial debido a ataques AIT y se compromete a pagar los gastos que puedan surgir como resultado.