Política para relaciones con proveedores.

Esta Política sobre las relaciones con proveedores se integrará a la normativa básica de la empresa, incluyendo su difusión, y las sanciones correspondientes por incumplimiento de esta.

Los lineamientos para las relaciones de la organización con sus proveedores de servicios se establecen con el fin de asegurar que la información a la que tengan acceso esté asegurada en cada etapa de la cadena de suministro, por lo que se definen las siguientes directrices.

CUMPLIMIENTO NORMATIVO.
Cuando aplique, los terceros deberán evidenciar cumplimiento con ISO/IEC 27001, PCI DSS, u otros estándares normativos mediante certificaciones, reportes u auditorías externas.

• El tratamiento de datos personales debe ser de acuerdo con la legislación vigente y correspondiente al ámbito de aplicación. El proveedor debe garantizar que cumple con la normatividad respectiva.

GESTIÓN CONTRACTUAL Y NDA.
• Se deben suscribir acuerdos de confidencialidad y/o acuerdos de protección de datos y/o niveles de servicio (SLA) con los proveedores que tendrán acceso a la información de IPCOM y sus clientes.
• El inicio de la relación comercial se realiza únicamente con la suscripción de los documentos legales.
• La subcontratación que implique acceso a datos o sistemas requiere autorización previa y cumplimiento de requisitos equivalentes.

CONTROL DE ACCESO LÓGICO.
En caso de que el proveedor requiera usuarios en los sistemas de información de la organización, éstos deben ser creados de acuerdo con los parámetros definidos en el Procedimiento de Creación, Modificación y Eliminación de Cuentas de usuarios.

• Los niveles de acceso lógico a la información se definen de acuerdo con el tipo de proveedor y se utilizan medios de asignación formal, utilizando el principio del mínimo privilegio y mínimo conocimiento.

Se deberán considerar como mínimo los siguientes controles para el acceso a los activos de información de IPCOM:
• MFA para accesos remotos o privilegiados.
• Bloqueo por intentos fallidos.
• Prohibición de compartir credenciales.
• Revocación inmediata de los accesos cuando no sea necesario.
Se aplicará el principio de mínimo privilegio y segregación por rol/tipo de proveedor.

ACCESO FÍSICO.
En caso de que el proveedor preste servicios desde las instalaciones de la organización, debe seguir el protocolo descrito dentro de los lineamientos de control de acceso físico a las oficinas, cumpliendo con el procedimiento de seguridad física: registro, identificación temporal, acompañamiento según nivel de acceso, acceso solo a áreas necesarias y devolución de credencial al finalizar. 

PROTECCIÓN DE LA INFORMACIÓN.
• Cifrado en tránsito y en reposo para datos sensibles.
• Clasificación y manejo seguro de datos; eliminación segura al terminar la relación.
• Mantenimiento de registros de acceso y actividades relevantes.
• Cumplimiento de legislación sobre datos personales aplicable.

TRANSFERENCIA Y TRANSICIONES.
• En transiciones de información o instalaciones, el proveedor mantendrá la seguridad de la información durante todo el proceso.
• Los mecanismos de transferencia de información se definen de acuerdo con los lineamientos de la política de transferencia de información.
• En caso de ser requerida la gestión de transiciones necesarias de información, instalaciones de procesamiento de información y/o cualquier otro elemento que sea requerido mover, el proveedor deberá asegurar que la seguridad de la información se mantiene durante todo el período de transición.

GESTIÓN DE INCIDENTES DE SEGURIDAD Y/O DATOS PERSONALES.
El proveedor debe informar los incidentes de seguridad ocurridos, que afecten la información u otros activos de la organización o sus clientes a los canales de seguridad@ipcom.ai; en un plazo máximo de 24 horas. De la misma forma deberá colaborar en la investigación/mitigación de aquellos incidentes que lo involucren y entregar causa raíz y acciones correctivas según formato y canal oficial.

CONTINUIDAD DE NEGOCIO (PROVEEDORES CRÍTICOS).
Los terceros deberán contar con Planes de continuidad operativa y DRP con RTO/RPO de acuerdo con los tiempos de servicio acordados. Periódicamente se podrán solicitar pruebas de los resultados de dichas pruebas asociadas a los servicios prestados.

SUPERVISIÓN, AUDITORÍA Y MEJORA CONTINUA.
Para los proveedores críticos respecto a seguridad de la información, se debe realizar seguimiento y revisión a los requisitos de seguridad, con el fin de verificar los niveles de protección que el proveedor da a la información. La organización podrá realizar evaluaciones periódicas, solicitar evidencias, definir planes de acción con plazos y verificar su cierre.