👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 16 del Marco COSO y los criterios CC9.2 y CC6.4.
TSC: Privacidad: P6.4.
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para evaluar periódicamente los servicios y/o productos que te prestan los proveedores alcanzados por tu programa de cumplimiento de SOC 2, con respecto a criterios previamente establecidos por tu organización. El uso de esta matriz te ayudará a contratar y mantener a los proveedores que sí te brinden la mejor calidad, y además funge como evidencia durante las auditorías.
💡 Esta actividad está directamente ligada al “Procedimiento de Revisión y Contratación de Proveedores”.
¿Qué tengo que hacer? 🚀
Para comenzar esta actividad debes enlistar en la matriz a todos los proveedores alcanzados por tu programa de cumplimiento. También puedes incluir a los proveedores que estás pensando contratar para asegurarte de que sean los más adecuados.
Nuestro template cuenta con criterios de evaluación que debes completar para cada proveedor. Te recomendamos considerar:
Seguridad: Evalúa las medidas de seguridad con las que cuenta el proveedor.
¿Sus controles de acceso (CC6.4) son robustos y permiten la asignación de permisos según el principio de mínimo privilegio?
¿Cuentan con cifrado de datos en reposo y en tránsito?
Capacidad - SLA: Evalúa los acuerdos de niveles de servicio (SLAs) para asegurar que el proveedor puede responder y entregar el servicio con la calidad esperada.
Cumplimiento normativo / regulatorio: Valida que el proveedor realice auditorías independientes y mantenga certificaciones relevantes (por ejemplo, su propio reporte SOC 2, ISO 27001, etc.).
Privacidad (P6.4): Para proveedores que manejan información personal, se debe evaluar específicamente si sus servicios y contratos cumplen con los compromisos de privacidad. ¿Ofrecen un Acuerdo de Procesamiento de Datos (DPA)? ¿Sus prácticas se alinean con las regulaciones aplicables?
Puedes añadir más criterios para que la evaluación sea lo más alineada al contexto de tu empresa. Dentro de nuestro template, te proporcionamos un parámetro de valorización para cada criterio. Con esto se calcula un promedio que define el nivel de calidad con el que medirás a tus proveedores.
📝 Por ejemplo, si tras evaluar a un nuevo proveedor de repositorios de documentos, este obtiene un resultado "Bajo" porque no tiene certificaciones de cumplimiento y sus medidas de seguridad son débiles, la "Acción recomendada" en la matriz te indicará buscar un nuevo proveedor.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu matriz fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Como buena práctica, puedes evaluar a todos tus proveedores y no solo aquellos alcanzados por tu reporte SOC 2.
Realiza esta evaluación de forma periódica, por lo menos una vez al año, para asegurarte de que siempre estén alineados a los requisitos de la organización.
Analiza e implementa todos los criterios de evaluación que consideres pertinentes para tomar las mejores decisiones.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.