Ir al contenido principal

Validar requisitos de SI en contratos con empleados y proveedores

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • TSC: Seguridad (Common Criteria): Principio 1 y 15 de COSO, y los criterios CC6.4 y CC9.2.

  • TSC: Privacidad: P6.4 y P6.5.

  • TSC: Integridad del Procesamiento: PI1.1.

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a validar y garantizar que tus acuerdos legales (contratos, términos y condiciones) con empleados, clientes y, especialmente, proveedores, se utilicen como una herramienta de control formal.

El objetivo es asegurar que todas las partes comprendan y se comprometan contractualmente a cumplir con tus requisitos de seguridad, confidencialidad, privacidad e integridad.

¿Qué tengo que hacer? 🚀

Para lograr esta actividad, debes revisar la estructura y el contenido de los contratos que manejas con tus empleados y proveedores. Si no generas tú los contratos (por ejemplo, en el caso de servicios en la nube), es fundamental que leas y comprendas los términos y condiciones que aceptaste.

A continuación, te presentamos los aspectos más importantes a revisar dentro de un contrato para asegurar el cumplimiento con SOC 2:

  • Acuerdos de confidencialidad (NDA):

    • Deben ser claros y definir las obligaciones de protección de la información, especificando que estas responsabilidades continúan incluso después de terminada la relación contractual.

  • Responsabilidades de seguridad y notificación de incidentes

    • El contrato debe definir las responsabilidades de seguridad de cada parte. Para SOC 2, es crucial que incluya la obligación del proveedor de notificarte sin demoras indebidas en caso de un incidente de seguridad, especialmente si involucra datos personales (P6.5).

  • Protección de datos personales

    • Para proveedores que procesan datos personales en tu nombre, el criterio P6.4 exige que el contrato les obligue a proteger dicha información con el mismo nivel de cuidado que tú. Deben existir garantías contractuales de que implementarán los controles adecuados.

  • Requisitos de integridad del procesamiento

    • Si un proveedor realiza un procesamiento de datos crítico, el contrato debe definir claramente las actividades a realizar y las expectativas de exactitud y completitud para asegurar la integridad de los resultados.

  • Derecho de auditoría

    • Incluir una cláusula que te permita auditar al proveedor (o revisar sus reportes de auditoría, como su propio SOC 2) es una parte clave de la gestión de riesgos de proveedores, como lo exige el criterio CC9.2.

  • Uso adecuado y acceso a la información

    • El contrato debe especificar el uso permitido de la información y los activos, reforzando las restricciones de acceso definidas para el proveedor.

Si los contratos y/o términos y condiciones que manejas con tus clientes, colaboradores y proveedores cuentan con los aspectos anteriormente mencionados, e incluso otros que aporten valor a la seguridad, ya estás comenzando la relación contractual de la mejor manera, y garantizando la protección de la información de la empresa ✨.

💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Pide ayuda al área legal y de recursos humanos. Su participación es clave para asegurar que los contratos sean robustos tanto legal como operativamente.

  • Solicita la firma de los acuerdos de confidencialidad (NDA) antes de otorgar cualquier acceso a tu información a un nuevo empleado o proveedor.

  • Notifica con anticipación las responsabilidades y derechos legales a todas las partes involucradas en la firma de un contrato.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
42. Validar requisitos de SI en contratos con empleados y proveedores
Revisión de contratos (para SGIA)
Política de Seguridad de la Información
Procedimiento de Revisión y Contratación de Proveedores
Matriz de Evaluación de Proveedores
¿Ha quedado contestada tu pregunta?