Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

Política de Seguridad – Proveedores Experian

Anuncio 
Requisitos de Seguridad de la información de Experian Spanish Latam para proveedores
Estos requisitos de seguridad de la información deben ser adoptados por los proveedores de
servicios que cumplan con alguno de los siguientes criterios en la actividad a realizar y de
conformidad con el servicio a prestar:



Almacenamiento, procesamiento o cualquier prestación de servicios que requiera el
acceso a la información de Experian Spanish Latam (definidas abajo);
Prestación de servicios que requiera acceso a la red de Experian Spanish Latam;
Prestación de servicios de desarrollo de código de aplicaciones de Experian Spanish
Latam;
Los requisitos de seguridad de la información incluidos en este documento buscan garantizar
que el proveedor disponga de un programa vigente de seguridad de la información para
proteger la información de Experian Spanish Latam
DEFINICIONES
La “Información de Experian Spanish Latam” significa los archivos entregados, bases de datos,
software de aplicativo (código fuente y objetos), documentación de software, de procesos,
documentos de soporte de procesos, y procedimientos de operación, planes de pruebas, casos
de uso, escenarios de prueba, información de incidentes informáticos, de clientes, manuales de
producto, comercial y demás datos específicamente clasificados por Experian Spanish Latam
como confidenciales o restringidos.
“Recurso” significa todos los dispositivos del proveedor, incluyendo, pero no limitado a equipos
portátiles, PCs, servidores y demás sistemas informáticos que almacenen, procesen,
transfieran, trasmitan, entregue o accedan a la información de Experian Spanish Latam.
PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN
El proveedor deberá contar con un programa de Seguridad de la Información comprensivo que
contenga defensas administrativas, técnicas, lógicas y físicas apropiadas para la complejidad,
naturaleza y alcance de sus actividades y a la sensibilidad de los activos de información que
llegue a manejar (las Defensas).
Tales Defensas incluyen los elementos que se especifican a continuación para:
(1) Garantizar la seguridad y la confidencialidad de la información de Experian Spanish Latam;
(2) Proteger de posibles peligros que comprometan la seguridad y la confidencialidad de la
información de Experian Spanish Latam;
(3) Proteger la información de Experian Spanish Latam contra accesos no autorizados;
(4) Ofrecer garantías a Experian Spanish Latam respecto de la eficacia continua de los
controles.
Página 1 de 8
REQUISTOS DE SEGURIDAD
1. Políticas de Gobierno y Seguridad de la información
El programa de seguridad de la Información del proveedor será consistente con las prácticas
descritas en la norma ISO 27002 y en este documento de Requisitos de Seguridad.
2. Derecho de auditoría de Experian Spanish Latam
Experian Spanish Latam podrá realizar auditorías y evaluaciones de riesgos de seguridad en
sitio, para validar la conformidad con el Programa de Seguridad de la Información del
proveedor y frente a este documento de Requisitos de Seguridad. Experian Spanish Latam
deberá enviar una notificación por escrito al proveedor con al menos cinco (5) días de
anticipación, informando sobre la realización de la auditoría o evaluación la cual deberá
contener el alcance deseado y que será realizada durante el horario hábil. El proveedor tendrá
disponibles a sus administradores y personal técnico para atender la auditoría.
3. Custodia de la Información
El proveedor designará propietarios de la información responsables por los activos de
información que se encuentren bajo su control, incluyendo la información de Experian Spanish
Latam
Los requisitos específicos para la transmisión, divulgación, almacenamiento y destrucción
estarán presentes durante toda la vida útil de la información de Experian Spanish Latam
El proveedor designará un propietario de los sistemas para cada recurso. El propietario de los
sistemas tiene la responsabilidad general de garantizar la conformidad con los controles de
seguridad inclusive el mantenimiento de los equipos y el nivel de corrección para soportar la
confidencialidad, disponibilidad e integridad de la información de Experian Spanish Latam
4. Confidencialidad e Integridad
El Proveedor utilizará un enfoque de seguridad para asegurar que la información de Experian
Spanish Latam está protegida durante todo el ciclo de vida, desde la creación, transformación y
uso, almacenamiento y destrucción, independientemente del medio de almacenamiento. Los
controles específicos se implementarán de acuerdo con la clasificación de la información de
Experian Spanish Latam para proteger de forma razonable la confidencialidad e integridad de
la información de Experian Spanish Latam Los componentes de control se utilizan para
especificar los requisitos de control de acceso, encriptación, etiquetado y divulgación tanto a las
partes internas como a las externas, envío y manipulación y destrucción.
5. Gestión de Vulnerabilidades
Firewalls, routers, servidores, PCs y todos los demás recursos se mantendrán actualizados con
los parches adecuados para la seguridad específica del sistema. El Proveedor llevará a cabo
pruebas de penetración por parte de terceros independientes para evaluar mejor los recursos y
pruebas de penetración, las cuales se ejecutarán al menos una vez cada doce meses. El
Proveedor realizará pruebas regulares de sus recursos para detectar cualquier vulnerabilidad
conocida (gestión de parches, escaneo de puertos, detección de virus, etc.). Todas las
principales tecnologías se configurarán de acuerdo con las mejores prácticas, para eliminar los
servicios innecesarios y otras opciones de configuración que pueden exponer a los recursos a
riesgos innecesarios. Las vulnerabilidades de alto riesgo se deberán abordar de manera
inmediata y otras vulnerabilidades menos críticas serán procesadas dentro de un plazo
Página 2 de 8
razonable. El resumen de los resultados de la prueba será compartido con Experian Spanish
Latam y/o será entregada una certificación del representante legal donde se evidencia el
cumplimiento de la ejecución de la prueba.
6. Seguridad Física
Habrá una función de seguridad para conceder, ajustar y revocar el acceso físico a las
instalaciones donde resida o pueda ser accedida la información de Experian Spanish Latam. El
proveedor no podrá transferir la información, ni siquiera entre sus distintas sedes, a menos que
cuente con aprobación expresa de y por escrito por Experian Spanish Latam.
Controles Físicos Externos
El exterior de la sede del proveedor deberá estar vigilado físicamente para evitar la entrada no
autorizada de terceros. Ningún aviso fuera de las instalaciones deberá evidenciar que la
información de Experian Spanish Latam es procesada o almacenada en las instalaciones. Las
ventanas y puertas exteriores, y otros medios de entrada poseerán alarmas para avisar cuando
se producen entradas no autorizadas. Las puertas exteriores se cerrarán automáticamente y
sonará una alarma para una entrada no autorizada.
Controles Físicos Interiores
El equipo de trabajo designado por el proveedor estará identificado con un carnet con fotografía
de tamaño adecuado para comprobar que el portador es el mismo de la fotografía del carnet.
Toda la información de Experian Spanish Latam será borrada por completo de cualquier medio,
ya sea impreso, magnético, óptico o cualquier otro formato. La eliminación de tales medios se
realizará:
(a) En o cerca de las instalaciones del proveedor utilizando los dispositivos y el software de
destrucción disponibles comercialmente, o
(b) por un servicio externo de destrucción, reconocido y aprobado por Experian Spanish Latam.
7. Logs y Monitoreo
Los logs de auditoría registrarán el acceso a la información de Experian Spanish Latam; la
creación de nuevos usuarios; intentos de alterar la configuración de seguridad;, inicialización
del sistema; copias de seguridad; e intentos inválidos de ingreso. Los logs de auditoría serán
retenidos con protección (con contraseña, encriptados o bloqueados) y serán revisados
regularmente por una persona independiente de la función de administración del sistema y
retenido por lo menos 90 días.
8. Detección y prevención de intrusiones
El proveedor aplicará medidas de seguridad para proteger el sistema de telecomunicaciones
del proveedor o cualquier otro sistema de información o dispositivo de red que el proveedor
utilice en la prestación de servicio a favor de Experian Spanish Latam buscando reducir el
riesgo de infiltración, ataque de hackers, violación de acceso o exposición a terceros por medio
de:
(a) protección contra intrusiones
(b) aseguramiento de los sistemas de información y dispositivos de redes
(c) protección contra intrusiones en los sistemas operativos o software
Procesos y procedimientos deberán estar establecidos para reaccionar contra las violaciones
de seguridad, también para atender eventos e incidentes poco comunes o sospechosos,
Página 3 de 8
buscando así evitar mayores daños a los activos de información y permitir la identificación y
castigo a los infractores. Estos procesos serán instrucciones detalladas con base en riesgos,
formalmente documentadas y
orientadas a reaccionar en condiciones conocidas o
sospechosas del sistema que aseguren una respuesta al incidente. Cuando los eventos exigen
una reacción investigativa, será mantenido un “archivo del caso” completo en beneficio de
Experian Spanish Latam siempre que la información de Experian Spanish Latam se encuentre
en riesgo.
El proveedor demostrará el monitoreo activo de la red y sistemas anfitriones de prevención de
intrusión con tiempo máximos de reacción de quince (15) minutos para amenazas reales o
sospechosas.
El proveedor revelará las violaciones de seguridad que afecten a Experian Spanish Latam, en
un plazo de veinticuatro (24) horas a partir del momento que es de conocimiento del proveedor
dicha violación o incidente.
9. Defensa contra Malware
El proveedor orientará los siguientes servicios y procedimientos de detección/escaneo de
malware, de la siguiente manera:
(a) Implementará y mantendrá un programa actualizado de detección y escaneo de virus antes
de enviar cualquier dato, archivo u otro material y/o el acceso o presentación (en forma
individual o colectiva "Envío de datos");
(b) Cuando se detecta un virus u otro malware real, potencial o sospechoso, deberá notificar a
Experian Spanish Latam y cesará de inmediato el envío de datos. Hasta que los virus
informáticos o programas maliciosos se hayan eliminado a satisfacción de Experian Spanish
Latam, no podrá el proveedor reiniciar el proceso de envío de datos; e
(c) Deberá utilizar dicha detección y escaneo antivirus en todos los mecanismos de envío de
datos, así como otros puntos determinados por Experian Spanish Latam. El Proveedor deberá
mantener todo el software antivirus actualizado.
10. Segregación de Funciones
El Proveedor mantiene controles diseñados para permitir la adecuada segregación de
funciones entre el personal del Proveedor, incluyendo el acceso a los sistemas y redes. Las
tareas están diseñadas para que nadie tenga la oportunidad de ocultar sus propios errores o
irregularidades. La segregación de funciones será mantenida entre y/o dentro de las siguientes
funciones: operaciones informáticas, administración de redes, desarrollo, gestión de cambios,
administración de la seguridad y miembros de la familia.
11. Criptografía e PKI
Toda la información Experian Spanish Latam será cifrada cuando sea almacenada, a menos
que se implementen controles de compensación aprobados por Experian Spanish Latam. Los
equipos portátiles no almacenarán información de Experian Spanish Latam a menos que
Experian Spanish Latam esté de acuerdo en que hay una necesidad de negocio para el
almacenamiento y en caso de obtener el consentimiento de Experian Spanish Latam, la
información en los equipos portátiles serán cifrados.
El Departamento de Seguridad de la Información del proveedor aprobará todos los dispositivos
criptográficos, algoritmos, longitudes de clave y sistemas de gestión de claves para asegurar el
cumplimiento con los estándares y la interoperabilidad. El Proveedor deberá mantener sistemas
Página 4 de 8
de gestión de claves de cifrado disponibles en el mercado contra el uso o divulgación no
autorizados.
Para certificados digitales, una Declaración de Prácticas de Certificación (PSC) aprobada se
utilizará para garantizar la coherencia con el uso y la protección de las claves de cifrado.
12. Seguridad de Red
El Proveedor deberá proporcionar los siguientes servicios de seguridad para la comunicación
de datos:
(a) proteger la confidencialidad e integridad de los datos transmitidos en cualquier tipo de red
de datos, y
(b) la implementación y mantenimiento de técnicas de cifrado estándar eficaces en la industria
para todos los casos en que los datos identificados como información Confidencial de Experian
Spanish Latam, como por ejemplo: Contratos de clientes, información personal de
consumidores, datos de tarjetahabientes cubiertos por Estándar de Seguridad de Datos para la
Industria de Tarjeta de Pago, contraseñas, reportes de vulnerabilidad, documentación y/o
configuraciones del sistema o código de aplicaciones, sea transmitida en cualquier red de datos
pública. Se requiere un cifrado de al menos 128 bits.
Las conexiones del proveedor a través Internet estarán protegidas por firewalls dedicados y
reconocidos en la industria, que sean configurados y administrados según las mejores
prácticas. Ningún protocolo de Internet o dirección interna privada (IP) se pondrá a disposición
del público o direccionado de forma nativa o enviados a través de Internet. Todo el acceso a los
servidores y firewalls se harán a través de una red interna segura.
Para proteger contra la divulgación inadvertida de información, protectores de pantalla con
contraseña de protección se activarán después de quince (15) minutos de inactividad.
13. Uso de correo electrónico y de Internet
Los proveedores reconocen que el uso inadecuado del correo electrónico y de Internet puede
tener impactos graves para los receptores, los remitentes de los mensajes y para la reputación
de Experian Spanish Latam
Los proveedores y sus empleados deben solicitar una autorización previa a Experian Spanish
Latam, por escrito, antes de publicar contenido en cualquier medio de comunicación o redes
digitales.
14. Identificación, autenticación y autorización
Cada usuario de cualquier recurso recibirá un ID de usuario asignado individualmente para
habilitar la autenticación y la responsabilidad individual. Cada recurso autenticará al usuario
antes de conceder acceso autorizado. El nivel de autenticación necesaria para acceder a
cualquier recurso es proporcional a la sensibilidad de los datos almacenados en el recurso.
El acceso a cuentas privilegiadas se limitará sólo a las personas que administran el recurso.
Todas las contraseñas predefinidas (como los proporcionados por los distribuidores de
hardware o software) se cambiarán inmediatamente después de recibirlas.
El Proveedor aplicará y cumplirá con los siguientes servicios y procedimientos de control de
acceso:
Página 5 de 8
(a) aplicará medidas para restringir el acceso electrónico a recursos, únicamente a las
personas autorizadas;
(b) asegurarse de que cada miembro del equipo del proveedor que acceda a material y/o
recursos, sean identificados individualmente y autenticado por el recurso (el proveedor no
utilizará ninguna forma de identificación de usuario genérico o compartido para acceder a la
información de Experian Spanish Latam);
c) seguir el principio de "menor privilegio", es decir, que sólo las personas autorizadas
solamente tengan el nivel de acceso necesario a los recursos para desempeñar sus funciones
con respecto a los recursos, y mantener los derechos y privilegios por el menor tiempo
necesario;
d) restringir el acceso a toda la información Experian Spanish Latam almacenada en un medio
de copia de seguridad, en forma impresa o en cualquier otro formato únicamente a los
empleados que necesitan dicho acceso para desempeñar sus funciones en la prestación de
servicios a Experian Spanish Latam y, almacenar esos datos en lugar físicamente seguro, y
e) eliminar los derechos de acceso físico y lógico inmediatamente después de la terminación o
el traslado de la persona.
Los recursos del proveedor almacenarán la información de Experian Spanish Latam de manera
controlada, segregadas de la información del proveedor y de otros clientes
15. Contraseñas y cuentas de usuario
Las contraseñas de usuario:
(a) permanecerán confidenciales y no serán compartidas, enviadas o divulgadas de ningún
modo;
(b) Tendrán como mínimo ocho (8) caracteres alfanuméricos para cuenta de usuario estándar y
diez (10) para cuentas de usuario privilegiado;
(c) No contendrán el nombre de la cuenta u otros valores fáciles de deducir;
(d) No permitirán que las trece (13) contraseñas anteriores serán reutilizadas y;
(e) serán encriptadas en el almacenamiento y transmisión
Las cuentas de usuario:
(a) serán bloqueadas automáticamente después de cinco (5) intentos incorrectos consecutivos
(b) vencerán después de noventa (90) días calendario y máximo treinta (30) para usuario de
cuentas privilegiadas.
16. Relacionamiento con terceros
El Proveedor no ofrecerá o proveerá información de Experian Spanish Latam a terceros sin el
consentimiento previo, expreso y por escrito de Experian Spanish Latam El Proveedor no
utilizará los recursos externos, sin el consentimiento previo por escrito de Experian Spanish
Latam
El Proveedor evaluará el riesgo de seguridad de los proveedores de servicios con acceso a la
información de Experian Spanish Latam El propósito de estas evaluaciones de riesgos de
seguridad es asegurar que las defensas son suficientes para proteger la información de
Experian Spanish Latam Por otra parte, los contratos de los proveedores con sus
subcontratistas garantizarán que éstos mantienen controles para asegurar que cualquier
persona con acceso físico o lógico a la información Experian Spanish Latam tiene las defensas
descritas en este documento.
Página 6 de 8
El proveedor deberá mantener la documentación que confirme la conformidad de los terceros
con relación a la legislación, normas y las leyes aplicables (por ejemplo: PCI, DSS, SOX, etc.)
El proveedor debe velar por la propiedad intelectual y por los derechos de autor de software,
archivos de música (MP3, etc.), fotos, vídeos y de otros materiales protegidos por la ley, no
copiándolos, diseminándolos en la red u otros computadores de Experian Spanish Latam
17. Consentimiento para la conexión de acceso inalámbrico
Todas las conexiones de acceso remoto a las redes internas del Proveedor y/o sistemas
informáticos requerirán una autorización, y deberán disponer de un medio de control de
acceso, pasado el "punto de entrada" del Proveedor, a los recursos de computación o
comunicación a través de la autenticación de factor múltiple. Dicho acceso utilizará canales de
acceso seguro, como por ejemplo una red privada virtual (VPN).
Todo el acceso inalámbrico a la información o a los recursos de Experian Spanish Latam
deberá ser previamente aprobada por el Departamento de Seguridad de la Información del
proveedor y siempre deberá emplear autenticación de factor múltiple antes de permitir la
conexión con la red del proveedor. El proveedor deberá desarrollar procedimientos formales
para localizar y retirar dispositivos inalámbricos no autorizados y evitar el acceso a información
de Experian Spanish Latam. Las redes del proveedor que tienen acceso a la información de
Experian Spanish Latam, serán aisladas lógicamente de otros segmentos de red que permitan
el acceso inalámbrico.
18. Desarrollo de Sistemas Seguros
Las aplicaciones desarrolladas para Experian Spanish Latam por el proveedor seguirán una
metodología que permita: (i) definir los requisitos de seguridad como parte de la fase de
definición de requerimientos, (ii) utilizar un modelo de diseño que incorpore las mejores
prácticas de seguridad, (iii) desarrollar códigos para minimizar las vulnerabilidades de
seguridad (tales como cross-site scripting (XSS), inyección SQL, desbordamiento de buffer,
etc.) (iv) probar el código con las evaluaciones estáticas y dinámicas, y (v) emplear la
aplicación en un entorno de producción seguro.
19. Capacitación y Sensibilización
El proveedor deberá exigir que todo su personal y subcontratistas participe en sesiones de
formación y sensibilización en seguridad como mínimo una vez al año. El sistema de formación
supervisará la presencia y realizará pruebas para asegurar que los materiales son entendidos.
El historial de la formación podrá estar sujeto a revisión por parte de Experian Spanish Latam
20. Continuidad de Negocio
El Proveedor deberá implementar y mantener un plan de continuidad de negocio que incluya
una estrategia y procedimientos, el tiempo estimado de recuperación de productos y servicios,
así como el procedimiento de notificación a Experian Spanish Latam. El Proveedor pondrá a
prueba su plan de continuidad del negocio por lo menos cada seis meses y/ o con la frecuencia
necesaria para asegurar de forma razonable una recuperación exitosa en el tiempo estimado si
una recuperación real se requiere. El papel de Experian Spanish Latam en el plan de
continuidad del negocio se definirá claramente en el plan de pruebas y Experian Spanish
Latam, se reserva el derecho a participar directamente en las pruebas de recuperación y llevar
a cabo auditoría a los planes y los resultados con regularidad.
Página 7 de 8
21. Escritorio Limpio
El proveedor deberá utilizar los conceptos de la escritorio limpio, que se describen en el Anexo
"B1" para todo el equipo de analistas que trabajará con información de Experian Spanish
Latam El proveedor entrenará, orientará y supervisará de manera recurrente el cumplimiento de
las directrices sobre escritorio limpio transmitidas a sus usuarios, que estén utilizando los
puestos de trabajo del proveedor. Si no se siguen estas pautas para cualquiera de los usuarios
de las estaciones de trabajo, debe ser reportado inmediatamente por escrito al usuario y al
supervisor a cargo de Experian Spanish Latam. Igualmente Experian Spanish Latam podrá, en
cualquier momento y sin previo aviso, realizar la auditoría del estado en que se encuentran los
puestos de trabajo utilizadas para Experian Spanish Latam, a través de empleados de Experian
Spanish Latam designados para este fin. Esta disposición altera temporalmente la descrita en
el punto 2 de este documento.
ANEXO B1
Orientaciones sobre Escritorio Limpio
Los empleados del proveedor, ahora designados usuarios, deben seguir las orientaciones sobre
escritorio limpio, observando lo que es y no permitido dejar en estas durante el período de
utilización de las estaciones de trabajo.
Lo que los usuarios “No pueden” dejar sobre el escritorio:





Papeles, bloc de notas, Post-it, tarjetas de visita, libros, revistas;
Bolígrafos, lápices, resaltadores, porta-retratos, fotos;
Teléfonos celulares, cámaras u otros dispositivos electrónicos de uso personal;
Cualquier tipo de comidas (así como comer en los puestos de trabajo)
Bolsos y carteras
Lo que los usuarios “pueden” dejar sobre el escritorio:
 Envases de agua con tapa;
 Teléfono fijo o teléfono de uso del puesto de trabajo;
 Monitor, teclado, mouse y pad mouse (o el apoyo ergonómico para los brazos);
 CPU (si no hay un lugar específico de la misma).
Página 8 de 8
Documentos relacionados
Explicación de Proposiciones Relativas al aumento de capital
Explicación de Proposiciones Relativas al aumento de capital
Todos a por las marcas blancas
Todos a por las marcas blancas
Preguntas básicas sobre informes de crédito y el sistema
Preguntas básicas sobre informes de crédito y el sistema
declaración del 9 de agosto
declaración del 9 de agosto
Hecho Esencial | Aumento de Capital
Hecho Esencial | Aumento de Capital
S4800043_es   PDF | 607.8 Kb
S4800043_es   PDF | 607.8 Kb
Elimine la complejidad y los costes asociados a la adquisición de
Elimine la complejidad y los costes asociados a la adquisición de
La Segunda Guerra Mundial I- Write down the names of the
La Segunda Guerra Mundial I- Write down the names of the
declaración del 25 de julio
declaración del 25 de julio
EnDebate EnDebate
EnDebate EnDebate
Descargar
Anuncio
Anuncio