La Organización ha establecido y aprobado un documento de políticas corporativas de seguridad y privacidad de la información, para el cumplimiento de los funcionarios y de los procesos de Netting Solutions, donde se especifica las responsabilidades y normativas frente al sistema, a continuación, se describe la política de ALTO NIVEL del SGSI.
“Nos comprometemos a gestionar los servicios de operación de tecnología de marketing y entrenamiento de los clientes de Netting Solutions, de forma segura, oportuna y según las disposiciones legales vigentes. Nos esforzaremos por lograr la satisfacción de nuestros clientes a través del desarrollo del talento humano, la operación de tecnologías, la gestión de los riesgos de los activos de información para asegurar la confidencialidad, integridad, disponibilidad y privacidad de la información y la mejora continua del Sistema de Gestión de seguridad y privacidad de la información”
Política para las Relaciones con Proveedores y Contratistas
Todo contrato debe ser validado y clasificado de acuerdo con su criticidad y deben implementarse los requisitos de seguridad necesarios de acuerdo con esta clasificación, en caso de que no pueda ser implementado alguno de los requisitos, deberá ser documentado y autorizado en el comité de Cambios y quedará documentado en el acta correspondiente.
Durante la Etapa de contratación se debe identificar los riesgos de seguridad y privacidad de la información tanto del servicio como del proyecto, teniendo en cuenta los siguientes aspectos: clasificación, probabilidad de ocurrencia estimada, su impacto, la determinación de la parte que debe asumirlos, el tratamiento que se les debe dar para eliminarlos o mitigarlos y las características del monitoreo más adecuado para administrarlos.
Así mismo, se debe identificar sí el objeto de la propuesta u oferta evaluada, requiere del acceso de los proveedores a la información reservada o clasificada2 de la entidad, sistemas de información y/o áreas seguras de la entidad; de ser así, se debe determinar los requisitos mínimos de seguridad y los controles necesarios por parte del proveedor para ejecutar dicho contrato. En cualquiera de los casos, se debe dar a conocer a los proveedores interesados o terceras partes, las políticas de seguridad y privacidad de la información de la Entidad.
En el contenido del contrato que se celebre entre la entidad y aquellos proveedores, terceras partes o clientes en donde se tendrá acceso a información reservada o Clasificada, se deben incluir en materia de seguridad y privacidad como mínimo lo siguiente:
Cumplimiento de las políticas de seguridad y privacidad de la información y la protección de datos personales por parte del tercero y viceversa.
Niveles de servicio y operación.
Acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas.
Propiedad de la información.
Restricciones sobre el software empleado.
Normas de seguridad física a ser aplicadas.
Procedimientos o instructivos a seguir cuando se encuentre evidencia de alteración o manipulación de equipos o información.
Requisitos para tratar los riesgos asociados con la cadena de suministro de productos y servicios tecnología de información y comunicación.
Procedimientos o instructivos y controles para la entrega de la información manejada y la destrucción de la misma una vez finalizado el servicio
Documentación de los controles físicos y lógicos acordados con el tercero o cliente para proteger la confidencialidad, integridad, disponibilidad y privacidad de los datos y los equipos.
Los requisitos para la protección de los datos privados acorde a la ley.
Acordar el cumplimiento explícito de la normatividad vigente, en materia de seguridad de la información, tanto del tercero o cliente como de la Entidad.
Responsabilidades de confidencialidad de la información posteriores a la terminación del contrato.
Responsabilidades y sanciones en caso de incumplimiento de los acuerdos respectivos.
Antes de iniciar la ejecución del contrato, se debe socializar a los proveedores y terceras partes, según sea el caso, el procedimiento de gestión de incidentes y acordar el canal para su debido reporte.
Durante la Ejecución contractual y Post Contractual se debe monitorear, hacer seguimiento y asegurarse de que los controles pactados para garantizar la seguridad y privacidad de la información a que se ha tenido acceso por parte de los proveedores, terceras partes o de la Entidad cumplan con los pilares de la información, confidencialidad, integridad, disponibilidad y privacidad frente a los riesgos previamente identificados.
El responsable de los contratos debe definir las acciones que se tomarán cuando se observen situaciones especiales que atenten contra la seguridad y privacidad de la información en los servicios suministrados por terceros.
Se debe acordar los procesos de auditoria de proveedores o terceras partes, cuyo objetivo sea validar el cumplimiento de los requisitos de seguridad de la información estipulados desde la Etapa Precontractual y formalizada en los acuerdos establecidos.
Para los servicios de tecnología y de comunicaciones contratados, se debe exigir que los proveedores apliquen y cumplan los requisitos y prácticas de seguridad de la información, adoptados por la entidad, a lo largo de la cadena de suministro.
Para toda gestión del proveedor o cliente que represente una modificación, mantenimiento, revisión al servicio de tecnología de la información, comunicaciones o equipos de suministros, se debe aplicar el procedimiento de control de cambios, antes de su ejecución.
Para la contratación de servicios o componentes de la infraestructura de TI y/o áreas seguras, se debe exigir a los proveedores la presentación de los planes de contingencia que aseguren la disponibilidad de la información, suministrada y procesada entre las partes.