Contáctanos
Platform
Issuing
Processing
BIN Sponsorship
Risk Management
Casos de uso
Empresa
Recursos
legales

Política Externa de
Seguridad de la Información

1. INTRODUCCIÓN

Asegurar la seguridad de la información es uno de los objetivos principales de Pomelo, sus clientes, proveedores y terceros que participan en la operación, mantenimiento y desarrollo de sus productos y servicios. El compromiso por la seguridad es y debe ser de todos los que participan en la cadena de producción puesto que lo que sucede en alguna parte de nuestra cadena de productos y servicios, nos afecta a todos. Por ende, las entidades que participan en la operatoria de Pomelo, asumen el compromiso de establecer prácticas y controles que permitan elevar el nivel de madurez en materia de seguridad de la información y ciberseguridad.

2. ALCANCE

El presente documento aplica para todos los clientes, proveedores y cualquier tercero que procese, trate, acceda, utilice o manipule información confidencial de Pomelo, sus clientes, proveedores o terceros vinculados y/o acceda o utilice los sistemas informáticos de Pomelo.

Tanto Pomelo como el Cliente, se comprometen al cumplimiento del presente anexo (en adelante denominados en conjunto como las “Partes” e individualmente como la “Parte”) debiendo garantizar el efectivo cumplimiento con los requisitos que aquí se establecen por parte de sus colaboradores y empleados.

3. PROPIEDAD DE LA INFORMACIÓN

La información que una de las partes revele, dé a conocer, entregue o confíe a la otra durante la ejecución o con ocasión de los servicios contratados, será tratada como información confidencial y por ende, la parte receptora deberá arbitrar medios técnicos, físicos y administrativos suficientes tendientes a asegurar la confidencialidad, disponibilidad e integridad de dicha información. La parte receptora deberá reconocer en todo momento la titularidad de la parte remitente sobre tal información, siguiendo las instrucción que esta última determine para su manejo y difusión.

4. MEDIDAS DE SEGURIDAD.

Gobierno de ciberseguridad y seguridad de la información

Las Partes deben establecer e implementar un marco para el gobierno en materia de seguridad de la información y ciberseguridad, el cual deberá basarse en alguno de los estándares reconocidos por la industria (ej: NIST, ISO 27001, SOC2, PCI) así como también en aquellas regulaciones, estándares o normativas aplicable al negocio y la industria. Esto incluye, pero no se limita a: el desarrollo de políticas, procesos/procedimientos y controles. Este gobierno debe permitir que la disponibilidad, integridad y confidencialidad estén respaldados por controles y herramientas diseñadas para mitigar o reducir los riesgos de pérdida, acceso no autorizado o corrupción de la información.

Gestión de los riesgos relacionados con la seguridad de la información y la ciberseguridad

Las Partes deben establecer, implementar y operar un programa de gestión de riesgos de seguridad de la información y ciberseguridad que evalúe, mitigue y controle de manera efectiva la evolución de los riesgos de seguridad en todo su entorno. Las Partes deberán notificar a la otra si existen dificultades para remediar o reducir cualquier área de riesgo esencial y que podría afectar la información y/o los servicios que presta a la otra.

Organización: Funciones y responsabilidades

Las Partes vinculadas deben garantizar que todas las personas implicadas en la operación estén informadas de los requisitos de seguridad consolidados en este documento y de su cumplimiento. Debe garantizarse la existencia de personas con las competencias necesarias dentro de la organización, con funciones y responsabilidades definidas para gestionar y garantizar su eficaz funcionamiento, que procuren proteger los servicios y/o la información confidencial en su poder.

Concientización en Ciberseguridad y Seguridad de la Información

Las Partes deben establecer, implementar y operar un programa de concientización en seguridad de la información y ciberseguridad, durante el ciclo de vida de la relación laboral con sus empleados y sus terceros, para garantizar que comprendan sus responsabilidades, conozcan los riesgos, apliquen las buenas prácticas y tomen conciencia sobre las medidas de protección de la información. Asimismo debe disponer de actualizaciones regulares a sus empleados sobre las políticas y procedimientos de su organización.

Gestión de Identidades y Accesos

Las Partes deben restringir el acceso a la información, teniendo en cuenta los principios de menores privilegios, divulgación de información solo cuando sea necesario y segregación de funciones. Se debe demostrar que el acceso a los datos o información será gestionado de forma apropiada y se limita solo a aquellas personas que la necesitan acceder. Considerar:

- Todos los sistemas que almacenan o procesan activos de información y que deben incluir empleados nuevos, que cambian de puesto, dejan la empresa, o que disponen de acceso remoto.

- Controles para la autorización, que permitan legitimar que el proceso de aprovisionamiento, modificación y retiro de los accesos incluye un nivel de autorización ajustado al nivel de privilegios otorgados.

- Revisión periódica de los accesos, incluyendo los accesos privilegiados.

- Controles sobre la autenticación.

Computación en la nube

Esta sección aplica únicamente cuando alguna de las Partes procese, almacene o trate información confidencial vía alguno de los modelos de servicios en nube -SaaS, PaaS e IaaS.

Las Partes deben asegurarse que el servicio en la nube utilizado cuente con un marco de controles de seguridad definido para proteger la disponibilidad, integridad y confidencialidad, así como su funcionamiento eficaz, con el fin de proteger el servicio y/o la información.

Debe solicitarse al proveedor de nube que acredite periódicamente el cumplimiento con estándares de seguridad reconocidos en la industria (SOC2, ISO 27001, PCI, NIST, entre otros). En todo momento se deben implementar medidas para garantizar que todo uso de tecnología en la nube resulte seguro.

Las Partes serán responsables de garantizar los controles de seguridad de los datos relacionados con los activos de información y/o datos en su poder, incluyendo datos personales en la nube, y el proveedor del servicio en la nube es responsable de la seguridad del servicio en la nube. Las Partes siguen siendo responsables de la configuración y supervisión de los controles de seguridad implementados para ofrecer protección frente a incidentes de seguridad, incluyendo violaciones de la seguridad de los datos.

El proveedor de nube debe implementar medidas de seguridad en todos los aspectos del servicio que se va a prestar, incluyendo el modelo de responsabilidad compartida en la nube, de forma que se proteja la confidencialidad, integridad, disponibilidad y accesibilidad, minimizando la oportunidad de que personas no autorizadas logren acceder a información confidencial de las Partes. Los controles de seguridad en la nube deben ser acorde a los modelos de despliegue (IaaS/PaaS/SaaS).

Cuando un proveedor del servicio en la nube vaya a mantener datos confidenciales y/o restringidos, el proveedor debe facilitar las ubicaciones, zonas de datos, entre otra información de valor que permita identificar correctamente el almacenamiento de datos.

Gestión de activos de información y tecnológicos

Las Partes deben disponer, mantener y gestionar los activos tecnológicos y de información durante todo su ciclo de vida y en el uso, tránsito y reposo, desde la recepción hasta su retiro/eliminación, garantizando su confidencialidad, disponibilidad e integridad.

Se debe mantener un inventario, clasificación y etiquetado de los activos tecnológicos y de información según el nivel de criticidad, y realizar como mínimo una revisión anual para validar que el inventario está actualizado, completo y sea correcto.

Las Partes deben implementar prácticas y controles para mitigar la incorporación de tecnologías no compatibles u obsoletas, y al final de la vida útil, realizar el retiro y destrucción de activos e información para mitigar el riesgo de compromiso. De la misma forma deberán:

- Realizar una revisión constante de la información y/o datos confidenciales existentes y nuevos.

- Una gestión y almacenamiento de la información y/o datos confidenciales segura y acorde con el nivel de clasificación.

- Concientización a todo el personal de los requisitos de etiquetado, almacenamiento y tratamiento de información y cómo aplicar la clasificación de la información correcta.

Prevención de fuga de información y/o pérdida de datos

Las Partes deben asegurar que los activos de información y/o datos confidenciales bajo su custodia estén protegidos a través de una combinación de técnicas de cifrado, medios seguros para el acceso a los datos, protección de la integridad y técnicas y controles de prevención de la fuga de información. Se debe limitar el acceso a los activos de información/datos confidenciales, incluyendo datos personales, para que ese acceso sea seguro.

Las Partes dispondrán de prácticas y controles para la protección frente a las fugas de información, considerando mínimamente los principales vectores de fuga: transferencia no autorizada de información fuera de la red interna o la red, correo electrónico, web/internet, incluyendo almacenamiento online y correo en línea, DNS, pérdida o robo de activos de información en medios electrónicos portátiles, como información electrónica de estaciones de trabajo, dispositivos móviles, discos duros portátiles, transferencia no autorizada de información, intercambio no segura de información con terceros y/o impresión o copia inadecuadas de información.

Eliminación y destrucción de activos de información físicos y electrónicos

En los casos que sea aplicable, las Partes deben devolver/destruir y/o depurar los activos de información almacenados en formato físico o electrónico ya sea producto de la finalización de la relación comercial o cuando sea solicitado por el propietario de la información confidencial y/o el controlador de datos personales pertinente.

Cuando se eliminen activos de información que se guardan en formato físico o electrónico, deberá garantizarse que la información/datos en cuestión no pueda ser recuperada. Para los activos de información en formato electrónico preferiblemente utilizar técnicas como borrado seguro, purga, eliminación o destrucción de datos o métodos basados en software para sobrescribir los datos o utilizar un marco estándar de la industria (P.ej: NIST) para la eliminación de datos. Para la eliminación de información en formato impreso usar preferiblemente mediante cortes de tiras o transversales en forma que no sea posible la reconstrucción de los documentos o la recuperación de cualquier información contenida en ellos o bien se podría incinerar. Se deben custodiar los documentos y/o medios hasta el último momento antes de su eliminación y/o destrucción.

La Parte que requiera hacer uso de terceros para la eliminación y/o destrucción de información o activos tecnológicos debido a la imposibilidad de ejercer esta función por su cuenta, debe establecer y firmar acuerdos de confidencialidad y no divulgación con la finalidad de proteger la información. Este acuerdo entre la Parte y el tercero debe mínimamente especificar la necesidad de:

- La protección adecuada de la información para impedir su divulgación.

- La total custodia y trazabilidad de la documentación hasta su total destrucción.

- La eliminación y/o destrucción inmediata de los documentos en cuanto se reciba en las instalaciones del tercero.

- El medio de transporte para los documentos físicos.

- El método de eliminación y/o destrucción segura y aceptable.

- La entrega del certificado o evidencia de eliminación y/o destrucción

- El personal que ejecuta el proceso de destrucción y/o eliminación tiene firmados acuerdos de confidencialidad.

- El personal que ejecuta el proceso de destrucción y/o eliminación pertenece al tercero y no a otra empresa.

La Parte debe mantener evidencia de la eliminación y/o destrucción de la información o activos tecnológicos, que debió efectuarse en el tiempo acordado entre las partes según las instrucciones recibidas y deberá entregarse un certificado a la contraparte, que debe incluir mínimamente:

- Detalle de procedimientos o métodos empleados para la devolución, destrucción y/o depuración de la información.

- Declaración que no persisten copias o respaldos adicionales.

- Responsables del procedimiento, incluidos terceros.

- Registros de auditoría (en caso de que aplique).

- Prueba y certificación de eliminación / destrucción (incluyendo fechas)

- En general un informe de destrucción / eliminación que confirme el éxito o fracaso de cualquier procedimiento.

Seguridad en la red

Las Partes deben asegurarse de que todos los sistemas y componentes tecnológicos que utilicen se protejan contra las amenazas entrantes y salientes de la red. Deben considerarse mínimamente:

- Mantener inventarios actualizados de los componentes de la red de la organización, con arquitecturas/diagramas de red.

- Revisión periódica de potenciales vulnerabilidades en el entorno de red.

- Aplicación de mecanismos y tecnologías de protección como segmentación de red, firewalls, controles de los accesos físicos a los equipos de red, etc. Así como aquellos que eviten las intrusiones en la red para detectar y evitar la entrada de tráfico malicioso en la red.

Las Partes deben garantizar que ningún servidor usado se despliegue en redes que no sean de confianza, es decir redes fuera del perímetro de seguridad, que escapen al control administrativo. La Parte que aloje información confidencial en un centro de datos en las premisas o en la nube debe demostrar cumplimiento de buenas prácticas recomendadas por el sector.

Detección de denegación de servicio

Las Partes deben disponer de capacidades de detección y protección frente a los ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS). Se asegurarán que los canales externos o conectados a internet que se empleen cuenten con una adecuada protección contra este tipo de ataques, a fin de garantizar la disponibilidad.

Si alguna de las Partes aloja una aplicación que está conectada a Internet debe protegerla utilizando tecnologías apropiadas para esta finalidad en todas las capas.

Acceso remoto

Las Partes deben disponer de controles para mitigar los riesgos del acceso remoto orientados a mitigar la exposición potencial derivada del uso no autorizado.

En caso de permitirse el acceso remoto a información confidencial debe implementar como mínimo:

- Aseguramiento, control y cifrado mediante el uso de firewalls y redes virtuales seguras (VPN).

- Aseguramiento de las estaciones desde las cuales se realice el acceso remoto, y de conformidad con los procedimientos recomendados de la industria como, por ejemplo, nivel de los parches, estado de las soluciones contra el software malintencionado, solución EDR de detección y respuesta del punto final inicio de sesión, etc.

- Utilizar siempre autenticación multifactor.

Gestión de logs de seguridad

Las Partes deben recopilar, gestionar y analizar los registros de auditoría de eventos que puedan ayudar a supervisar, detectar, comprender y recuperarse de un ataque, donde los sistemas, componentes tecnológicos y procesos clave de su compañía incluyendo aplicaciones, equipos de red, bases de datos, endpoints, dispositivos de seguridad, infraestructura, servidores y otros elementos útiles en componentes tecnológicos y sistemas de información que estén configurados para producir los registros/logs necesarios, de conformidad con estándares y prácticas recomendadas.

Dichos registros deben estar debidamente asegurados, guardados y conservados para lo cual se puede considerar el uso de cifrado, MFA, control del acceso y copias de seguridad, entre otros. Estos registros podrían ser solicitados entre las Partes si se identifica un evento que comprometa procesos e información de alguna de las organizaciones y siempre que permita apoyar las respectivas investigaciones.

Las Partes deben hacer uso de herramientas analíticas de registro o gestión de eventos e información de seguridad para la correlación y análisis de los registros. Así mismo, el uso de herramientas para la agregación y correlación en tiempo real de actividades anómalas, alertas de red, sistemas de inteligencia de ciberamenazas, y eventos vinculados desde múltiples fuentes, tanto internas como externas, para detectar y prevenir ciberataques.

Controles contra software malicioso

Las Partes deben disponer de políticas, procesos y controles técnicos, para impedir la ejecución de software malicioso en sus ecosistemas tecnológicos. Deberán garantizar que la protección contra software malicioso se aplique a todos los activos informáticos aplicables en todo momento para evitar afectaciones de servicio o violaciones de la seguridad.

La protección contra software malicioso deberá incluir, entre otras cosas:

- Soluciones tecnológicas contra el software malicioso, gestionado centralmente para controlar y defender continuamente el entorno informático de la organización.

- Actualización regular de motor y base de datos de firmas, de conformidad con los procedimientos recomendados en el sector.

- Enviar todos los eventos de detección de software malicioso a herramientas de administración contra software malicioso y servidores de registros de eventos para su análisis y alerta.

Estándares de configuración segura

Las Partes deben disponer de un marco para garantizar que todos los sistemas/equipos de red, dispositivos de red, sistemas operativos, aplicaciones, servidores y componentes tecnológicos en general, se configuran de forma segura de acuerdo con los estándares recomendados del sector tales como ISO,NIST, SANS, CIS. También se debe disponer de procesos de gestión de la configuración que gobierne los estándares de configuración segura y detecte, alerte y responda de manera efectiva a los cambios en la configuración o las desviaciones.

La configuración segura debe tener en cuenta principios de seguridad como: controles de limitación de puertos, protocolos y servicios, software no autorizado, eliminación y desactivación de cuentas de usuario innecesarias, cambio de contraseñas por defecto en cuentas, eliminación de software innecesario, etc.

Se deben disponer de procedimientos para verificar regularmente, al menos una vez al año, que los incumplimientos de los estándares de seguridad básicos se gestionen.

Seguridad en los endpoints o dispositivos de acceso

Las Partes reforzarán la seguridad de los dispositivos utilizados para acceder a la red o a la información confidencial en su poder, a fin de protegerlos contra los ataques y las ciber amenazas. Deberán estar establecidos procedimientos recomendados del sector para la seguridad de los dispositivos de acceso considerando:

- Cifrado de disco.

- Deshabilitación de software/servicios/puertos innecesarios.

- Deshabilitación de administrador local de máquina.

- Evitar que los empleados sin autorización puedan realizar cambios en las configuraciones básicas de los dispositivos.

- Deshabilitación del uso de puertos USB, para evitar la producción de copias de información a soportes externos. Su uso debe habilitarse solamente por razones de negocio legítimas.

- Actualización con las últimas firmas antivirus y parches de seguridad.

- Aplicación de políticas para la prevención de fuga de información por acciones sobre la información confidencial.

- Control para acceder a sitios de redes sociales, servicios de correo personal y sitios que puedan almacenar información en internet como Google Drive, Dropbox, iCloud, entre otros.

- Control en la transmisión de información confidencial mediante herramientas de mensajería instantánea.

- Capacidades para detectar software no autorizado identificado como malicioso y evitar la instalación de software no autorizado.

- Hacer uso de imágenes o plantillas seguras para todos los sistemas de la empresa basados en los estándares de configuración y buenas prácticas del sector.

Seguridad en las aplicaciones

Si alguna de las Partes desarrolla aplicaciones para uso de sus colaboradores, clientes o proveedores, deberá disponer de un marco de desarrollo seguro para prevenir afectaciones a la seguridad e identificar y corregir las vulnerabilidades en el código durante el proceso de desarrollo.

Para el desarrollo de aplicaciones se debe hacer uso de estándares y entornos de desarrollo seguro, apropiados para el lenguaje de programación, alineados con las recomendaciones del sector como OWASP, con el objeto de minimizar vulnerabilidades e interrupciones del servicio.

Se debe contemplar:

- Mantener entornos separados para los sistemas productivos y no productivos. Controlar los entornos productivos y realizar segregación de funciones. Se debe tener cuidado en el uso de datos de producción en otros ambientes.

- Almacenar y custodiar el código en condiciones apropiadas de seguridad para minimizar afectaciones de confidencialidad, disponibilidad e integridad.

- Utilizar solo componentes de terceros actualizados y de confianza.

- Aplicar herramientas de análisis de código para comprobar que se cumplen las prácticas de codificación seguras.

- Cuidar el uso de información confidencial en entornos que no sean de producción.

- Proteger las aplicaciones web con firewalls de aplicaciones web (WAF), que inspeccionen el tráfico para evitar ataques. En el caso de aplicaciones no web, considerar el uso de firewalls específicos de las aplicaciones, si estos están disponibles para el tipo de aplicación. Si el tráfico es cifrado, el dispositivo debe quedar detrás del cifrado o poder descifrar el tráfico antes del análisis. Si ninguna de estas opciones resulta apropiada, se debería considerar el despliegue de un firewall de aplicaciones web basado en el host.

Gestión de Vulnerabilidades

Las Partes deben disponer de políticas, procesos y controles implementados para la supervisión efectiva, la detección y la remediación de vulnerabilidades de sus aplicaciones, infraestructura, y componentes tecnológicos. La gestión de vulnerabilidades debe incluir, entre otras cosas:

- Funciones, responsabilidades y obligaciones definidas para la supervisión, presentación de información y atención.

- Herramientas e infraestructura apropiadas para el análisis de vulnerabilidades.

- Desarrollar análisis de vulnerabilidades de manera rutinaria, que identifiquen de manera efectiva vulnerabilidades conocidas y desconocidas en todas las clases de activos del entorno tecnológico.

- Priorizar la remediación de las vulnerabilidades descubiertas en base al riesgo.

- Implementar un proceso de remediación de vulnerabilidades que incluya la verificación rápida y efectiva de la remediación de estas, en los diferentes activos del entorno tecnológico.

- Solucionar las vulnerabilidades de manera efectiva a través de actividades de remediación oportunas y en conformidad con las recomendaciones de la industria, de forma que se reduzca el riesgo de explotación de las mismas.

- Comparar regularmente los resultados de análisis anteriores de vulnerabilidades para comprobar que estas se han remediado.

Todos los problemas y vulnerabilidades de seguridad que pudieran afectar de forma severa a los servicios prestados o que puedan poner en riesgo información confidencial suministrada por la contraparte se comunicarán de inmediato.

Gestión de parches

Las Partes deben contar con políticas, procesos y controles implementados para supervisar y controlar la implementación de parches de seguridad para el entorno tecnológico que lo requiera. Deben aplicar a los sistemas, activos, redes, aplicaciones los últimos parches de seguridad de manera oportuna, y de conformidad con los procedimientos recomendados del sector. Deben incluir la realización de pruebas antes de su implementación en sistemas en producción, implementación de controles compensatorios en caso de que un sistema no pueda parchearse, un proceso de gestión de cambios que registre pruebe y autorice antes de la implementación todos los cambios a fin de evitar interrupciones del servicio o afectaciones de seguridad.

Las Partes deben asegurarse de que los parches se reflejen en entornos de producción y de recuperación de desastres.

Gestión de incidentes de ciberseguridad

Las Partes deben disponer y operar un marco para la gestión de eventos e incidentes de ciberseguridad y seguridad de la información que valide, remita, contenga y repare efectivamente los incidentes de seguridad y que contenga fases de detección, investigación y reacción ante la ocurrencia de estos.

Así mismo se deben disponer de planes escritos y probados de respuesta a los incidentes, adaptados a diferentes categorías de incidentes conocidos.

Debe reportarse de forma oportuna a la contraparte y máximo dentro de las 24 horas siguientes a su identificación, todo incidente de ciberseguridad que concluya en la violación a las políticas de Ciberseguridad y Seguridad de la información y que atente contra la confidencialidad, integridad o disponibilidad de la información que la organización procesa en sus sistemas de información o en las de un tercero, y afecte a la contraparte. A tal efecto, las Partes deben establecer canales de comunicación para el reporte de incidentes de seguridad, los que deberán ser oportunamente denunciados entre ellas.

Algunas categorías posibles de incidentes de seguridad son:

- Código Malicioso: software que se infiltra o inserta intencionalmente en un sistema con un propósito dañino sin el consentimiento del usuario, pero normalmente necesita su interacción para activarse.

- Disponibilidad: ataques dirigidos a poner fuera de servicio los sistemas mediante altos volúmenes de tráfico o peticiones, con el objeto de afectar la productividad o imagen de las organizaciones. También puede ser causado por errores humanos sin que haya malicia o negligencia.

- Compromiso de Información: incidentes relacionados con la pérdida del Activo de Información por robo (confidencialidad), eliminación o modificación (integridad de la información) no autorizada de Información no pública.

- Obtención de información: ataques dirigidos a personas o dispositivos mediante ingeniería social o escaneo de vulnerabilidades, con el fin de recolectar información que permita ejecutar ataques más sofisticados.

- Intrusiones: ataques dirigidos a la explotación de vulnerabilidades de diseño, de operación o de configuración de los sistemas con el objeto de infiltrarse de forma fraudulenta en ellos.

- Fraude: uso de recursos tecnológicos con ánimo de lucro o estafa mediante la suplantación de identidad.

- Violación de políticas: infracciones a las Políticas de Seguridad aprobadas por la Organización.

- Vulnerabilidades: sistemas que carecen de una adecuada configuración, actualización o mecanismos criptográficos fuertes.

La Parte que sufre el incidente será responsable de la contención y solución de la situación presentada, no obstante la contraparte podrá contactar a las personas responsables de este proceso a fin conocer y discutir acciones preventivas o correctivas, por tanto, las Partes deben disponer una lista de contactos del equipo a cargo de la gestión de incidentes.

La Parte que sufre el incidente deberá informar a la otra los indicadores de compromiso (IoC) detectados en el suceso, así como las acciones que preventivamente pudieran aplicarse para contener algún compromiso o acción anómala. Asimismo deberá entregar un avance diario de la situación hasta su contención al buzón de correo reportado al efecto, además de un informe final cuando la situación haya sido resuelta.

Si se identifica un evento que comprometa los procesos e información de la contraparte, esta última podrá solicitar en cualquier momento a la otra información que permita apoyar las respectivas investigaciones, entre ellos: documentación de procesos, logs de acceso a instalaciones físicas, soportes digitales y/o físicos, logs de aplicaciones y sistemas que soporten la operación, información que pueda ser requisito de actividades de análisis forense o análisis continuo para el monitoreo de eventos de seguridad y administración de incidentes, información relacionada con indicadores de compromiso como direcciones IP, nombres de dominios, hashes, artefactos de malware, resultados de sus propias herramientas de ciberseguridad u otros documentos o elementos que puedan relacionarse al evento. Esta información deberá ser entregada de manera oportuna.

Pruebas de penetración o ethical hacking

Las Partes deben realizar pruebas de penetración o ethical hacking en su infraestructura tecnológica, incluyendo los centros de contingencia, aplicaciones, sistemas de información y en los componentes tecnológicos que tengan alcance al servicio contratado, al menos una vez al año, con el objetivo de identificar posibles brechas que puedan poner en riesgo la organización a través de ciberataques.

Las Partes deben establecer prioridades y planes de acción a los hallazgos encontrados y realizar seguimientos periódicos. Esta prueba debe ser realizada en conformidad con las buenas prácticas recomendadas del sector.

Gestión de Proveedores y sub-contratistas

Las Partes deberán garantizar que sus proveedores y subcontratistas cumplan al menos con los mismos estándares de seguridad de la información definidos en el presente documento. Asimismo, las Partes deberán auditar y/o monitorear periódicamente el cumplimiento de sus proveedores con los estándares de seguridad razonablemente aplicables en virtud de la criticidad del servicio prestado por el proveedor / subcontratista, siendo responsables por cualquier daño que sus proveedores / subcontratistas pudieran ocasionar a las Partes y/o titulares de datos personales como consecuencia de fallas o negligencias en sus sistemas de seguridad de la información.

Derecho de Auditoría

Cada una de las Partes autoriza a que la otra, previa notificación por escrito dentro de un plazo razonable, pueda llevar a cabo una auditoría de seguridad de cualquier instalación, tecnología o servicios utilizados por la Parte para desarrollar, probar, mejorar, mantener u operar los sistemas utilizados en los servicios, a fin de comprobar el cumplimiento con las obligaciones detalladas en este acuerdo.

Todo incumplimiento de controles identificado durante una revisión debe someterse a una evaluación en la que participen representantes de las Partes y dependiendo del riesgo se deberá especificar un plazo para que se corrija.

Las Partes se comprometen a prestar a la otra toda la asistencia posible durante los procesos de revisión / auditoría. Asimismo, la Parte auditora deberá realizar todos los esfuerzos necesarios para no entorpecer la operación de la otra durante los procesos de auditoría.

En caso que cualquiera de las Partes pretenda realizar pruebas de penetración y/o ethical hacking durante los procesos de auditoría, dichas pruebas deberán ser costeadas por la Parte que requiere la prueba y bajo ninguna circunstancia podrán efectuarse en ambientes productivos sino que deberán realizarse en ambientes de prueba creados y autorizados por la contraparte para este tipo de análisis.

Acceso a Datos Críticos de Tarjeta

Cualquiera de las Partes que pretenda usar, acceder o almacenar datos críticos de tarjetas y/o cualquier dato afectado por la regulación de la Payment Card Industry (PCI DSS), deberá cumplir con los recaudos fijados por dicha normativa para acceder a los datos de tarjeta. Al efecto, las Partes podrán presentar las certificaciones, evaluaciones y/o autoevaluaciones (ej: AOC, SAQ) que resulten necesarias bajo la normativa de referencia. La Parte que incumpla o deje de cumplir en cualquier momento de la relación contractual con este requisito, deberá inmediatamente notificar a la otra y evitar el acceso, procesamiento y/o almacenamiento de los datos de tarjeta hasta tanto regularice el cumplimiento con los estándares PCI.

Hablemos

Construye el
producto que buscas
para tu negocio

Agenda una llamada con nuestro equipo.

Cecilia BrittoHead of Business
Alfonso TorreguitarHead of Global Solutions
Santiago WitisCountry Manager Cono Sur Latam
Jacob LevinCountry Manager México
Rafael GoulartCountry Manager Brasil
Paula BarnesHead of Risk
Contactame