Common use of Control de resiliencia operacional Clause in Contracts

Control de resiliencia operacional. 1. Definir, documentar e implantar planes de continuidad de servicios TI que abarcan todos los sistemas y componentes TI (incluyendo redes de telecomunicaciones) que procesan los datos personales, incluyendo otras ubicaciones y centros de procesamiento de datos (CPD). 2. El proveedor dispone de herramientas para detectar y prevenir intrusiones o ciberataques (P.ej. Cortafuegos, IPS, IDS, herramientas de detección y prevenciones de ataques dirigidos, etc.). 3. El proveedor dispone de herramientas o servicios para detectar y limitar el impacto de ataques de denegación de servicio (p.ej DoS, DDoS). 4. El proveedor lleva a cabo de forma regular simulaciones de ataques informáticos (p.ej. Tests de intrusión/penetración). Las desviaciones detectadas son evaluadas y corregidas de forma regular atendiendo a un procedimiento definido. 5. Los componentes y dispositivos que procesan datos personales están protegidos, mediante la implantación de las correspondientes medidas técnicas y organizativas, frente a desastres causados por elementos naturales (p.ej. Fuego, inundaciones, tornados). 6. Las redes de telecomunicaciones del proveedor están segmentadas mediante la implantación de cortafuegos para poder limitar el impacto en caso de un incidente de seguridad. 7. Se debe disponer de una política de respaldo de los datos procesados por los sistemas informáticos. La política debe establecer el alcance de los sistemas TI, las frecuencias de las copias de respaldo, el periodo de retención, la ubicación física de las copias y las medidas de seguridad para asegurar la confidencialidad e integridad (p.ej. cifrado)). La política debe tener en consideración requerimientos regulatorios y legales. 8. Se deben llevar a cabo de forma regular copias de respaldo de los sistemas informáticos (incluyendo los datos de configuración del sistema) que procesan los datos personales de acuerdo con la política establecida.

Control de resiliencia operacional. 1. DefinirEl Encargado del Tratamiento debe definir, documentar e implantar implementar planes de continuidad de servicios TI que abarcan todos abarquen los sistemas y componentes TI (incluyendo redes críticos de telecomunicaciones) que procesan los datos personales, incluyendo otras ubicaciones y centros de procesamiento de datos (CPD)TI. 2. El proveedor dispone de Encargado del Tratamiento debe tener herramientas para detectar y prevenir intrusiones o y ciberataques (P.ej. Cortafuegospor ejemplo, cortafuegos, IPS, IDS, herramientas de detección para detectar y prevenciones de prevenir ataques dirigidos, etc.). 3. El proveedor dispone de Encargado del Tratamiento debe tener herramientas o servicios para detectar y limitar el impacto de los ataques de denegación de servicio (p.ej por ejemplo, DoS, DDoS, etc.). 4. El proveedor lleva a cabo de forma regular Encargado del Tratamiento debe ejecutar regularmente simulaciones de ataques informáticos (p.ej. Tests por ejemplo, pruebas de intrusión/penetración). Las desviaciones detectadas son evaluadas se deben evaluar y corregidas corregir regularmente de forma regular atendiendo a acuerdo con un procedimiento definido. 5. Los componentes y dispositivos que procesan datos personales están protegidos, deben protegerse mediante la implantación aplicación de las correspondientes medidas técnicas y organizativas, frente a desastres causados organizativas correspondientes contra las catástrofes causadas por elementos naturales (p.ej. Fuegopor ejemplo, incendios, inundaciones, tornados, etc.). 6. Las redes de telecomunicaciones del proveedor están segmentadas Encargado del Tratamiento deben segmentarse mediante la implantación implementación de cortafuegos para poder limitar el su impacto en caso de un incidente evento de seguridad. 7. Se debe disponer de Existe una política de respaldo copias de seguridad para los datos procesados por los sistemas informáticos. La política debe establecer el alcance de los sistemas de TI, las frecuencias la frecuencia de las copias de respaldoseguridad, el periodo período de retenciónalmacenamiento, la ubicación física de las copias y las medidas de seguridad para asegurar salvaguardar la confidencialidad e y la integridad (p.ej. por ejemplo, el cifrado)). La política debe tener en consideración requerimientos regulatorios también considera los requisitos reglamentarios y legales. 8. Se deben llevar a cabo de forma regular realizar copias de respaldo seguridad periódicas de los sistemas informáticos (incluyendo incluidos los datos de configuración del sistema) que procesan los datos personales de acuerdo con la política establecida.