Micrositios SAS



Política de seguridad de la información para las relaciones con proveedores

martes, 30 de mayo de 2023

OBJETIVO


Establecer las directrices y los requisitos de seguridad de la información entre la empresa MICROSITIOS SAS y sus proveedores de acuerdo con su clasificación, con el fin de salvaguardar la confidencialidad, integridad y disponibilidad de la información.


ALCANCE


Aplica a los proveedores de MICROSITIOS SAS de acuerdo con su clasificación.


GENERALIDADES


Los requisitos de seguridad de la información necesarios para la mitigación de los posibles riesgos asociados con el acceso de proveedores a los activos de información de la compañía deben ser acordados y documentados entre MICROSITIOS SAS y el proveedor de tal manera que se asegure la protección de los activos de la compañía.


Los proveedores tendrán acceso limitado a información reservada y confidencial de la organización. Si fuese necesario el suministro de esta información, se deberá cumplir con las medidas de seguridad que garantice la no divulgación y/o modificación de dicha información.


Los contratistas no podrán tener acceso a áreas o zonas donde se encuentre información sensible en la compañía. En caso de ser necesario su ingreso a determinadas áreas, se debe contar con la autorización por parte de un colaborador autorizado por parte de la empresa, previa validación del alcance contractual por el servicio contratado.


TRATAMIENTO DE LA SEGURIDAD DE LA INFORMACIÓN DENTRO DE LOS ACUERDOS CON LOS PROVEEDORES


LA EMPRESA MICROSITIOS SAS  establece los criterios y requisitos para cada tipo de proveedor, los cuales se encuentran definidos dentro del Procedimiento de Compras con el fin de satisfacer los requisitos de la Seguridad de la Información, entre MICROSITIOS SAS  y sus proveedores.



  • Los controles de acceso físico o lógicos con los cuales los proveedores de MICROSITIOS SAS  debe cumplir, tendrán que estar documentados y aprobados, además de ser de conocimiento de ambas partes.

  • Los proveedores dependiendo de su clasificación deberán reportar los incidentes de seguridad de la información al Líder de Infraestructura  o Gerente de Proyectos.

  • Los proveedores deberán reportar al  líder de Infraestructura, Gerente de Proyectos  o al área afectada, cualquier debilidad que observen en los sistemas de información o en los servicios de MICROSTIOS SAS.

  • MICROSITIOS SAS  podrá realizar o solicitar auditorias sobre los sistemas informáticos del proveedor, dependiendo de su clasificación para garantizar el cumplimiento de los parámetros establecidos en las políticas de desarrollo seguro.

  • Toda información reservada o confidencial suministrada por parte MICROSITIOS SAS , deberá ser tratada de acuerdo con la política y procedimiento de transferencia de la información  y/o ley 1581 de 2012.

  • MICROSITIOS SAS tendrá actualizada la información correspondiente de la persona de contacto de los proveedores.


CADENA DE SUMINISTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN



  • Para toda adquisición de software y hardware que MICROSITIOS SAS realiza, es responsabilidad de la Gerencia y el Líder de infraestructura, se debe definir los requisitos de seguridad, de acuerdo con el procedimiento de compras.

  • Los proveedores clasificados de impacto crítico que contratan externamente servicios de otras compañías, y que estén relacionados con el suministro de tecnología de información y comunicación que prestan a MICROSITIOS SAS, deben asegurar que los requisitos y buenas prácticas de seguridad implementadas por MICROSITIOS SAS sean extensivos a sus terceros que intervengan directamente con los servicios prestados.


SEGUIMIENTO Y REVISIÓN DE LOS SERVICIOS DE LOS PROVEEDORES



  • Se establece llevar a cabo el seguimiento periódico de conformidad al procedimiento de evaluación de proveedores, considerando el tipo de proveedor, acuerdos de niveles de servicio y criticidad de la información que maneja.

  • En caso de ser requerido por norma o Ley, o en aquellos casos que MICROSITIOS SAS considere  pertinente, se ejecutaran auditorías a los proveedores.

  • Cuando se considere pertinente, para proveedores clasificados de impacto crítico en seguridad de la información se evalúa el plan de continuidad del proveedor junto con las pruebas realizadas.

  • En los contratos o acuerdos con los proveedores y/o contratistas se debe incluir una causal de terminación del acuerdo o contrato de servicios, por el no cumplimiento de las políticas de seguridad de la información.

  • Los colaboradores de MICROSITIOS SAS  que fungen como supervisores (Gerente de proyectos  o lideres de proyectos) de contratos relacionados con sistemas de información deberán realizar seguimiento, control y revisión de los servicios suministrados por los proveedores y/o contratistas, así mismo, deberán acogerse a las recomendaciones que se emitan como resultado de las auditorias que MICROSITIOS SAS o terceros realicen sobre los mismos.


Esta política se debe revisar a intervalos planificados de un (1) año, o si ocurren cambios significativos, para asegurar su conveniencia, adecuación y eficacia continúa.


 

(601) 2 537161 - (601) 2 263134
Horario de atencion: Lunes a Viernes de 8:00 am a 6:00 pm
Carrera 46 No. 93 - 45 - piso 2 Bogota DC - Colombia
[email protected]
20 años