Política de Requisitos de Seguridad de la Información de Proveedores

Válido desde: 17.06.2020
Propietario: Tarmo Randel, Administrador de Seguridad de Información

Alcance

Estos requisitos se aplican a cualquier tercero que tenga acceso a los datos de Bolt. Algunos requisitos se agrupan en base a la clasificación de los datos procesados por terceros. Consulte la Política de Clasificación de Datos para obtener una explicación detallada de las categorías de clasificación. Tenga en cuenta que antes de probar cualquier servicio o producto, es necesario realizar un control adecuado para garantizar que los terceros puedan cumplir estos requisitos.

Requisitos generales

Se requiere una NDA firmada siempre que cualquier dato que será procesado por un tercero sea clasificado como interno, restringido o confidencial. Si los datos personales se intercambian con un tercero DEBE firmar un Acuerdo de Procesamiento de Datos antes de que se produzca cualquier intercambio de datos.

Cualquier proveedor debe implementar todas las prácticas acordadas, así como generales de seguridad de la información en todos los componentes y materiales suministrados, incluyendo software, hardware e información para salvaguardar la confidencialidad, disponibilidad e integridad de los datos de Bolt. Cuando proceda, el suministrador proporcionará documentación completa de Bolt en relación con la aplicación de sus controles de seguridad.

Los siguientes elementos deben ser implementados y verificados:

  • en los casos en los que se intercambian datos personales, se requiere un acuerdo de procesamiento de datos conforme al GDPR.
  • las medidas técnicas y organizativas adecuadas que se aplicarán en los sistemas conectados y, a efectos de claridad, el mínimo absoluto requerido es el siguiente:
    • en los casos en los que se intercambian datos personales, se requiere un acuerdo de procesamiento de datos conforme al GDPR.
    • las medidas técnicas y organizativas adecuadas que se aplicarán en los sistemas conectados y, a efectos de claridad, el mínimo absoluto requerido es el siguiente:
    • reglas de control de acceso y mecanismos.
    • asegurando los extremos expuestos.
    • asegurando el desarrollo y los entornos de prueba.
    • demostrando cómo los datos están asegurados en reposo y en transito.
    • demostrando la existencia de capacidades de gestión de vulnerabilidades.
    • demostrando la existencia de gestión de incidentes y el proceso de actualización de software.
    • PI secretos y gestión de contraseñas.
    • recolección y monitoreo de registros.
    • acuerdo de nivel de servicio claramente definido con los datos de contacto.

Cualquier proveedor que haya probado HIPAA, PCI DSS, GDPR, ISO27001/validación demuestra habitualmente que ha implementado estos requisitos, sin embargo esto debe ser verificado. La referencia a los controles de seguridad pertinentes también debería incluirse en el contrato de proveedor.

Para todos los proveedores de equipos de procesamiento de información y proveedores de comunicación, se debe llevar a cabo una evaluación de riesgos adecuada para evaluar los posibles riesgos y tomar las medidas de compensación necesarias según sea necesario.

Requisitos detallados

Los requisitos detallados de seguridad de la información deben ser verificados después de que se haya firmado un acuerdo y antes de que el miembro del equipo interno de TI o de Seguridad de la Información procesen cualquier información real. Además de los requisitos aquí presentados, el tercero debe tener acceso y aceptar por escrito el cumplimiento de la Política de Seguridad de la Información de Bolt. Los requisitos detallados se presentan en formato de lista de verificación en el Apéndice A.

Auditoría

En caso de notificación o información razonable, y durante horas de trabajo normales, Bolt tendrá el derecho, pero no la obligación, de revisar periódicamente las operaciones del Proveedor, procesos y sistemas en lo que se refiere a los Servicios, con el fin de controlar el cumplimiento por parte del proveedor de los términos y condiciones de la presente Política.

Revisar y actualizar

Estos requisitos deben ser revisados por el propietario del documento al menos una vez al año.

Apéndice A

Lista de verificación para requerimientos comunes de procesamiento de información confidencial, restringida e interna

  • Control de acceso
    • son cuentas de usuario administradas centralmente
    • son regularmente revisados los accesos de usuario
    • hay requisitos forzados para la longitud de la contraseña y complejidad
    • son fallos de acceso registrados, alertados e investigados
    • hay autenticación multi-factor
    • está el PKI siendo utilizado en el control de acceso
    • se está accediendo a los sistemas directamente a través de Internet pública
    • existe una política o práctica de trabajo desde casa
  • Prevención de incidentes y gestión de vulnerabilidades
    • es el software en las estaciones de trabajo regularmente, administrado y actualizado de forma centralizada
    • hay software de seguridad de endpoints administrado y supervisado de forma centralizada
    • hay requisitos o prácticas para aplicar el cifrado a los datos en reposo
    • hay un requisito o práctica para aplicar el cifrado a los datos en tránsito
    • son las estaciones de trabajo gestionables centralmente
    • existe un tipo de política de "uso aceptable" que trata temas ciberhigienes comunes
    • hay una política de copia de seguridad de datos o procedimientos
    • es el perímetro de la red externa e interna escaneado regularmente
  • Política y procedimientos de gestión de incidentes
    • hay una matriz de clasificación de incidentes y prioridad
    • hay un proceso de escalación de resolución de incidentes
    • en caso de que exista una clasificación de tipo de violación de datos para incidentes -cuántos datos han sido registrados en los últimos 6 meses

Lista de verificación para procesar información confidencial

  • Política y procedimientos de gestión de incidentes
    • qué mecanismos de prevención adicionales de datos se implementan

Lista de control para procesar información pública

  • Integridad de datos
    • hay procedimientos en marcha para garantizar la integridad de los datos