top of page

Política de seguridad de
la información a proveedores

ABSTRACTO
Documento que define las políticas a proveedores que acceden información, y sistemas, información de la organización.
 

OBJETIVO DEL DOCUMENTO
El principal objetivo del presente documento es mitigar los riesgos asociados a los sistemas de información de la organización, describiendo lo que se espera de todo el personal que pertenece a otras empresas proveedoras que trabajan para ITBS y que en el desarrollo de sus funciones pueda tener acceso a la información, sistemas de información o recursos en general, con el fin de proteger la confidencialidad, integridad y disponibilidad de la información y sistemas.
 

ALCANCE DEL DOCUMENTO
El ámbito de aplicación de este documento son todas las actividades desarrolladas por personal que pertenece a otras empresas proveedoras que prestan servicios a la Organización, vinculadas a través del correspondiente contrato de provisión de servicios. Cualquier empresa o tercero que para la prestación de servicios tenga que utilizar los sistemas de información o disponga de acceso a los recursos informáticos en general.
 

DEFINICIONES
Documento:
Es un testimonio evidenciado por cualquier medio, con el que se prueba, se establece o se hace constar algo. Un documento puede ser o incluir diagramas de flujo, tablas, figuras, planos, etc.
ORGANIZACIÓN
Diseño e Implementación de Servicio Computacional SA de CV y las empresas que forman parte del grupo corporativo ITBS.
NORMA VIGENTE
ISO/ IEC 27001
ISO/IEC 20000
GERENTE
Gerente del área solicitante
Dirección 
Dirección de operaciones
 

POLÍTICAS

  1. Esta política de seguridad es propiedad de ITBS tiene carácter público y únicamente está permitida su utilización y difusión con carácter interno a la empresa proveedora de personal de servicio y por personal autorizado.

  2. Tal y como se ha establecido en el ámbito de aplicación, todo el personal externo que desarrolle labores para ITBS deberá cumplir con la política de seguridad recogida en el presente documento. En caso de incumplimiento de cualquiera de estas obligaciones, la organización se reserva el derecho de veto sobre el personal externo que haya cometido la infracción, así como la adopción de las medidas sancionadoras que se consideren pertinentes en relación a la empresa contratada y que pueden llegar a la resolución de los contratos que tenga vigentes con dicha empresa.

  3. Todo el personal que acceda a los sistemas de información deberá seguir las siguientes normas de actuación:

    1. Proteger la información confidencial perteneciente o cedida por terceros a ITBS de toda revelación no autorizada, modificación, destrucción o uso incorrecto, ya sea accidental o no.

    2. Proteger todos los sistemas de información y redes de telecomunicaciones contra accesos o usos no autorizados, interrupciones de operaciones, destrucción, mal uso o robo.

    3. Será necesario conocer, aceptar y cumplir la presente Política antes de poder acceder a los sistemas de información de la Organización.

  4. De forma adicional, todo el personal con responsabilidades específicas dentro del ámbito de actuación indicado deberá asegurarse de que se cumplen las siguientes medidas:

    1. Con carácter general, todo proveedor que proporcione diseño, desarrollo, implementación y operación deberá incorporar mecanismos de identificación, autenticación y control de acceso físico y lógico, tal y como lo establecen las SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) (DISC-TI-GS-POL-1).

    2. Deberán tomarse todas las precauciones posibles para proteger físicamente los sistemas y prevenirlos frente al robo, destrucción o interrupción.

    3. El personal externo no podrá permanecer ni ejecutar trabajos en las áreas especialmente protegidas (LAYOUT ORGANIZACIONAL (DISC-DI-FA-DOC-3) sin supervisión.

    4. Deberá asegurarse la confidencialidad de la información almacenada, tanto en formato electrónico como no electrónico.

  5. La confidencialidad de la información se define como la garantía de que la información no es divulgada de forma inadecuada a entidades o procesos. Con el fin de preservarla se generarán (CONVENIO DE CONFIDENCIALIDAD (NDA) P. MORAL (DISC-FI-LE-FOR-11) cuando el acuerdo con el proveedor así se requiera, bajo los siguientes lineamientos:

    1. Proveedor que acceda a Información del cliente o nuestra, tales como datos del cliente o información confidencial.

    2. El personal externo que tenga acceso a información de la organización, aun sin existir formalmente un CONVENIO DE CONFIDENCIALIDAD (NDA) P. MORAL (DISC-FI-LE-FOR-11, deberá considerar que dicha información, por defecto, tiene el carácter de confidencial. Solo se podrá considerar como información no confidencial aquella información de la Organización a la que haya tenido acceso a través de los medios de difusión pública de información.

    3. Los proveedores de servicios protegerán la información confidencial a la que tienen acceso, contra revelaciones no autorizadas o accidentales, modificación, destrucción o mal uso, cualquiera que sea el soporte en que se encuentre contenida esa información.

    4. En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado de la empresa proveedora de servicios entre en posesión de información confidencial contenida en cualquier tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le confiera derecho alguno de posesión, titularidad o copia sobre dicha información.

    5. Todas estas obligaciones continuarán vigentes tras la finalización de las actividades que el personal externo desarrolle para la organización.

    6. Se limitará el acceso al personal de soporte externo a las áreas especialmente protegidas. Este acceso, como el de cualquier otra persona ajena que requiera acceder a áreas protegidas, se asignará únicamente cuando sea necesario y se encuentre autorizado, y siempre bajo la vigilancia de personal autorizado. El sistema de control mantendrá un registro de todos los accesos de personas ajenas.

  6. ​Para el intercambio de información. Se establecen las siguientes normas:

  1. La distribución de información, ya sea en formato digital o papel, se realizará mediante los dispositivos facilitados por la organización para tal cometido y con la finalidad exclusiva de facilitar las funciones del puesto. La organización se reserva, en función del riesgo identificado, la implementación de medidas de control, registro y auditoría sobre estos dispositivos de difusión.

  2. Toda salida de información que contenga datos de carácter personal (tanto en soportes informáticos como en papel o por correo electrónico) solo podrá ser realizada por personal autorizado y con el debido permiso.

  3. El personal de empresas proveedoras de servicios que accede a los sistemas de información de la organización dentro de su ámbito de trabajo, es responsable de asegurar que los datos, las aplicaciones y los recursos informáticos sean usados únicamente para el desarrollo de la operativa propia para la que fueron creados e implantados. Este personal está obligado a utilizar los recursos y los datos contenidos en ellos sin incurrir en actividades que puedan ser consideradas ilícitas o ilegales.

  4. Para obtener el acceso a los sistemas de información, este personal debe disponer de los accesos proporcionados por la organización o uno similar.

7. Para una conexión remota, el software utilizado deberá cumplir con los siguientes requisitos:

  1. Encriptación de la conexión.

  2. Log de actividad del usuario conectado.

  3. Un colaborador al pendiente de la activad del tercero.

  4. Asegurar el cierre de la conexión al terminar la actividad.

8. Todo el personal tiene prohibido instalar copias ilegales de cualquier programa, incluidos los estandarizados.

9. Se prohíbe el uso de software no validado.

10. Se prohíbe el uso de software sin su respectiva licencia.

Esta política se dará a conocer una vez al año, tanto de manera interna a los colaboradores de la organización como a los proveedores de servicios.

bottom of page