Seguridad de la Información en las relaciones con proveedores

Ponemos en conocimiento de nuestros proveedores la existencia de Directrices de Seguridad de la Información establecidas en nuestra organización para mostrar el compromiso de nettaro en la protección y garantía de los principios de: confidencialidad, integridad y disponibilidad de la información manejada en la organización. 

Trabajamos bajo un Sistema de Gestión de Seguridad de la Información, cuyo alcance no sólo afecta al uso de los activos, sino que se extiende a todas las personas y terceros en el conocimiento y cumplimiento de estas Directrices estructuradas acorde a la norma ISO/IEC 27001. Tanto la Política como las Directrices de Seguridad de la Información, están en línea con el Reglamento General de Protección de Datos (RGPD). 

Confidencialidad de la Información

En los casos en los que se requiera entregar información a proveedores, o que producto de la prestación de un servicio debe acceder a información de la Institución, se deben aplicar acuerdos de confidencialidad y no divulgación entre nettaro y los proveedores reflejándose en el NDA – Acuerdo de Confidencialidad. 

Intercambio de Información

De acuerdo con nuestra filosofía de mejora continua de nuestro desempeño ambiental, de forma periódica definimos objetivos en esta materia. Además, nettaro cuenta con indicadores ambientales con seguimiento periódico que proporcionan información relativa a nuestro desempeño ambiental sirviendo de base para la toma de decisiones y establecimiento de líneas de trabajo.  Cualquier tipo de intercambio de información que se produzca entre nettaro y los proveedores de servicios se entenderá que ha sido realizado dentro del marco establecido por el contrato de prestación de servicios correspondiente, de modo que dicha información no podrá ser utilizada fuera de dicho marco ni para otros fines. 

Uso Apropiado de la Información

Cualquier archivo introducido en la red de nettaro o en cualquier equipo conectado a ella a través de soportes automatizados, Internet, correo electrónico o cualquier otro medio, debe cumplir con lo señalado en la POL-01 Política de Seguridad de nettaro, disponible en la página web https://www.nettaro.com

Acceso a la Red Corporativa

Los recursos corporativos son protegidos con los medios de seguridad técnicos necesarios para asegurar la protección de la información, ya sea desde las propias instalaciones o de forma externa. 

Comunicación de Incidentes de Seguridad

Los proveedores de nettaro se comprometen a comunicar de manera inmediata cualquier incidente, debilidad o amenaza (observada o sospechada) que detecte en los sistemas de información de nettaro o que haya podido afectar a información propiedad de nettaro o de sus clientes al Departamento de Sistemas a través del correo electrónico info@nettaro.com o a través del Responsable del servicio. 

Revisión

Esta política debe ser revisada por el Responsable de Sistemas y el Responsable del Sistema de Gestión como mínimo una vez al año, para alinearlas con las necesidades de la organización. 

La Dirección conoce la importancia de esta Política y participa activamente en la revisión de esta. 

Puntos Clave

Los puntos clave de esta política son:  

  • Requisitos de seguridad en productos y servicios. nettaro definirá los requisitos en Ciberseguridad que deben cumplir los productos o servicios que adquiera a proveedores. Estos requisitos serán coherentes con las políticas de seguridad de la información de la organización y los extenderemos a proveedores, suministradores, colaboradores, partners, canales de ventas y distribución, etc. 
  • Definir cláusulas contractuales en materia de seguridad de la información. Con el fin de establecer contratos y acuerdos rigurosos en materia de ciberseguridad. nettaro detallará las cuestiones más relevantes que deben reflejarse en los contratos con nuestros proveedores. Todos estos aspectos se pueden reflejar en contratos y acuerdos de confidencialidad y de acceso a datos. 
  • Determinar qué información es accedida, cómo puede ser accedida y la clasificación y protección de esta: 
    • Asegurarnos de que, una vez finalizado el contrato, el proveedor ya no podrá acceder o mantener la información sensible;  
    • Reflejar los requisitos legales oportunos: 
      • Cumplimiento del RGPD, 
      • Cumplimiento de la LSSI, 
      • Cumplimento de los derechos de propiedad intelectual, reflejando el derecho de auditoría y de control sobre aspectos relevantes del acuerdo; incluir las situaciones que conlleven la finalización del contrato; definir las garantías específicas: 
        • Penalizaciones económicas en caso de incumplimiento, 
        • Perjuicios económicos por inactividad,  
        • Certificaciones y garantías adicionales. 
  • Definir las responsabilidades concretas por ambas partes. Estableceremos por contrato, y con posibles penalizaciones, si es el proveedor o somos nosotros los responsables de cada aspecto relativo a la seguridad: 
    • Controlar quién accede o transforma la información sensible y por qué 
    • Realizar el backup y cuando controla los logs, etc.; 
    • Activar, mantener y controlar los sistemas de seguridad: antimalware, firewall, cifrado de comunicaciones, etc. 
  • Definir los ANS (Acuerdos de Nivel de Servicio). Con el fin de establecer las características de calidad y las garantías del servicio adquirido, debemos definir y firmar los ANS correspondientes con los proveedores. Los aspectos más relevantes para definir un ANS son: 
    • Responsabilidades de cada una de las partes; 
    • Duración del acuerdo; 
    • Detalle del nivel de servicio ofrecido. Incluyendo: 
      • Tasas de error permitidas, 
      • Disponibilidad horaria, 
      • Tiempos de respuesta y resolución, 
      • Canales de contacto, 
      • Proceso de escalado y notificación ante incidentes, 
      • Procedimientos para la resolución de problemas e incidencias, 
      • Personal asignado al servicio. 
    • Procedimientos para el seguimiento y control del servicio; 
    • Sanciones en caso de incumplimiento; 
    • Medición de la satisfacción por el servicio recibido. 
  • Controles de seguridad obligatorios. Para asegurar la contratación de un servicio externo seguro se identificarán los controles de seguridad que consideramos de obligado cumplimiento. Estos controles deben tener en cuenta los siguientes aspectos: 
    • Servicios y componentes informáticos a los que la organización permite el acceso; 
    • Qué información relevante de la organización puede ser accedida y con qué método de acceso; 
    • Como gestionar cualquier incidencia relacionada con el acceso de los proveedores a nuestros sistemas; 
    • Revisión del cumplimiento de los ANS acordados. 
  • Formar parte de los foros y organizaciones de usuarios de los productos/servicios software utilizados. Puede resultar de gran interés participar en foros y asociaciones sobre productos que hayamos adquirido. De esta manera tendremos la posibilidad de consultar las principales funcionalidades, novedades y vulnerabilidades acerca de los mismos. Además, revisaremos la reputación de nuestros proveedores, así como las certificaciones y sellos de calidad que poseen. 
  • Certificación de los servicios contratados. En servicios especialmente críticos podemos exigir a las empresas la garantía de que posean algunas de las certificaciones referentes a la calidad en la gestión de la seguridad de la información. Entre estas, cabría destacar las siguientes: 
    • Certificación ISO 27001 de Sistemas de gestión de la seguridad de la información; 
    • Certificación ISO 22301 de Gestión de continuidad de negocio; 
  • Auditoría y control de los servicios contratados. Para asegurar en todo momento la calidad del servicio contratado nettaro establecerá la manera de monitorizar, revisar y auditar el servicio de tus proveedores en aspectos relacionados con la ciberseguridad. Estableceremos la manera de gestionar cualquier problema surgido con productos o servicios de nuestros proveedores. Extenderemos estas prácticas a toda la cadena de suministro. 
  • Finalización de la relación contractual. Es importante garantizar la seguridad de la información tas la finalización de los servicios contratados. Para ello formalizaremos las acciones a llevar a cabo una vez finalizado el servicio: 
    • Señalar los activos que han de ser devueltos; 
    • Eliminación de permisos de acceso; 
    • Borrado de información sensible de la organización almacenada en los sistemas del proveedor. 

En Madrid, a 08 de febrero de 2024

 Director General de nettaro.