👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): CC9.2.
TSC: Privacidad: P6.4.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir y documentar cómo vas a seleccionar adecuadamente a los proveedores que trabajarán para tu organización, cuáles son los aspectos más importantes a considerar para su contratación, y cómo vas a revisar su servicio para garantizar que estén alineados a tus necesidades y lineamientos de seguridad y privacidad.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad, te sugerimos realizar los siguientes pasos:
Identifica a tus proveedores clave
Comienza por identificar cuáles son los proveedores que son alcanzados por tu programa de cumplimiento de SOC 2 y/o que forman parte de los procesos críticos de tus operaciones.
Aquí puedes apoyarte de tu “Inventario de Activos”, ya que en él definiste el listado de los proveedores de la empresa (proveedores de nube, aplicaciones SaaS, servicios de desarrollo, etc.).
Evalúa el servicio de tus proveedores
Una vez identificados, debes realizar una evaluación de sus servicios. Para esto te recomendamos utilizar una “Matriz de Evaluación de Proveedores”, la cual te ayudará a documentar los resultados y criterios de la revisión.
Entre los criterios de evaluación que debes considerar están el nivel de seguridad del proveedor, sus Acuerdos de Nivel de Servicio (SLAs) y su nivel de cumplimiento normativo. Para proveedores que manejan datos personales, es crucial verificar que sus prácticas y contratos cumplen con los requisitos de privacidad (P6.4).
Esta evaluación debe ser aplicada a los nuevos proveedores y a los ya existentes, por lo menos una vez al año.
Revisa los contratos y acuerdos
Es fundamental revisar que los contratos con estos proveedores cumplan con acuerdos en materia de seguridad, confidencialidad y tratamiento de datos personales. Esta revisión contractual es clave para la gestión de riesgos de proveedores (CC9.2) y para obtener las garantías de protección de datos personales que exige el criterio P6.4.
Recuerda que un acuerdo puede ser la aceptación que diste de sus términos y condiciones, por lo que es muy importante que los conozcas.
Gestiona la incorporación de nuevos proveedores
En caso de que requieras buscar o cambiar un proveedor, debes realizar la evaluación correspondiente con los criterios que hayas definido, validar los acuerdos contractuales y analizar los potenciales riesgos asociados a esta contratación en tu “Matriz de Riesgos”.
Recuerda que debes actualizar tu “Matriz de Evaluación de Proveedores” con la información del nuevo proveedor.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Añade más criterios de evaluación a tu matriz si lo ves pertinente. Recuerda que el objetivo es brindarte información valiosa para tomar decisiones importantes.
Asegúrate de que los lineamientos de tu “Política de Seguridad de la Información” estén alineados a tus necesidades y operaciones.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.