Common use of SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD Clause in Contracts

SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD. Teniendo en cuenta que la información del BANCO DAVIVIENDA es uno de sus activos más importantes, el CONTRATISTA se obliga a: 13.1. Establecer y mantener un programa de seguridad de la información y ciberseguridad alineado a mejores prácticas internacionales como ISO 27001, u otro estándar aplicable que incluya, pero no se limite a aspectos como seguridad de la información para: elementos físicos, digitales, virtuales y ciberespacio independiente de su tránsito y/o ubicación. Asimismo, capacitar a sus empleados y terceros, al menos una vez al año en temas de seguridad de la información y ciberseguridad y procedimientos, para la protección de manera anticipada contra amenazas y/o riesgos. 13.2. Definir e implementar un procedimiento de reporte, registro, investigación y respuesta ante materialización de eventos, amenazas e incidentes de seguridad y/o ciberseguridad. El procedimiento debe ser divulgado y sensibilizado a todo el personal que prestará el servicio. El procedimiento debe establecer los responsables, las definiciones de incidentes y las acciones a tomar por parte del CONTRATISTA; entre ellas, las actividades de cooperación en la respuesta, contención e investigación del incidente con el BANCO DAVIVIENDA, una vez se detecten eventos, amenazas, incidentes de seguridad o ciberseguridad. Así mismo, debe verificar que se mantenga un registro de los eventos (causa raíz del incidente, los efectos e impactos causados, los detalles sobre el plan de respuesta y cierre, entre otros) y mantener las evidencias digitales, custodia y disponibilidad de las mismas, y los planes de acción para evitar nuevas materializaciones. En caso que, el CONTRATISTA identifique una amenaza o la materialización de cualquier tipo de evento de seguridad de la información y/o ciberseguridad que atente o pudiese afectar la reputación, la operación o cualquier tipo de afectación al BANCO DAVIVIENDA en el servicio contratado, el CONTRATISTA se obliga a reportar inmediatamente al correo electrónico xxxx@xxxxxxxxxx.xxx y al supervisor del contrato del BANCO DAVIVIENDA, para que en conjunto se tomen las acciones pertinentes. 13.3. Para los Contratos que dentro de la prestación de su servicio reciban, almacenen, procesen, entreguen o transmitan datos de titulares de tarjetas y/o datos confidenciales de autenticación, de acuerdo al estándar PCI DSS (Payment Card Industry Data Security Standard), además de los requisitos anteriormente expuestos, el CONTRATISTA se obliga a mantener vigente la certificación con los requisitos de la regulación PCI DSS (Payment Card Industry Data Security Standard) que apliquen al proceso contratado por el BANCO DAVIVIENDA y enviar anualmente al Supervisor del Contrato del BANCO DAVIVIENDA, la certificación vigente PCI/DSS expedida por un QSA (Qualified Security Assessor) avalado por PCI/SSC (Security Standard council). 13.4. Para los Contratos que incluyan cualquier tipo de servicio alojado en la nube, el CONTRATISTA se obliga a cumplir con la normativa vigente, los estándares y mejores prácticas definidas en la industria, así como las políticas establecidas por el BANCO DAVIVIENDA para este fin, las cuales se incorporan como anexo al Contrato y hace parte integral del mismo. 13.5. El CONTRATISTA, debe realizar pruebas de vulnerabilidades en todos los componentes comprometidos en la prestación del servicio contratado, con una periodicidad mínima de dos (2) veces por año, con una diferencia de al menos seis meses entre cada prueba. Así mismo, debe realizar al menos una (1) vez al año un Ethical Hacking durante la vigencia del contrato, y siempre que se realicen cambios en la infraestructura tecnológica que soporta el servicio contratado. El CONTRATISTA se obliga a dar cierre a las vulnerabilidades identificadas de acuerdo con su criticidad en un periodo no mayor a: críticas/altas: 30 días, medias/severas: 60 días y moderadas o bajas: 90 días. Así mismo, debe realizar pruebas trimestrales sobre las aplicaciones. 13.6. En caso que, el BANCO DAVIVIENDA considere necesario, podrá solicitar una certificación sobre la ejecución de las pruebas y/o plan de remediación de las vulnerabilidades detectadas. Adicionalmente, el BANCO DAVIVIENDA podrá compartir con el CONTRATISTA el informe con los hallazgos identificados producto de sus evaluaciones o monitoreos de seguridad de la información y ciberseguridad, las cuales deberán ser remediadas en los mismos tiempos mencionados anteriormente. 13.7. El CONTRATISTA debe reportar al Supervisor del Contrato del BANCO DAVIVIENDA los casos en que se presenten incumplimientos en los tiempos de remediación de las vulnerabilidades críticas y altas sobre la infraestructura que directa o indirectamente afecte la prestación del servicio, incluyendo las fechas de cierre de las mismas. El CONTRATISTA deberá remitir la certificación correspondiente una vez hayan sido subsanadas. 13.8. El CONTRATISTA, se obliga a conocer y cumplir los lineamientos y directrices de la Norma de Seguridad de la Información para Terceros del BANCO DAVIVIENDA la cual se encuentra publicada en xxxxx://xxxxxxxxxxx.xxxxxxxxxx.xxx/xxxxxxx-xx- riesgo/ que apliquen al presente contrato. Así mismo, hará un uso pertinente y estricto de las plataformas tecnológicas que el BANCO DAVIVIENDA le disponibilice para la prestación del servicio contratado, absteniéndose de interferir en otras redes, enviar o propagar virus informáticos o realizar cualquier actividad que vaya en contra de ésta política y la normativa vigente sobre el particular. 13.9. Notificar al Supervisor del Contrato del BANCO DAVIVIENDA aquellas modificaciones en sus procedimientos de seguridad de la información y ciberseguridad, incluyendo seguridad física, que afecten las condiciones de seguridad del servicio inicialmente pactadas, las cuales deberán contar con la aprobación del BANCO DAVIVIENDA, aprobación que, en el evento de otorgarse, se expedirá 15 días después de la notificación de dicho cambio.

SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD. Teniendo en cuenta que la información del de EL BANCO DAVIVIENDA es uno de sus activos más importantes, el EL CONTRATISTA se obliga asujetará a las siguientes obligaciones: 13.11. Contar con dispositivos y herramientas de seguridad idóneos que protejan sus redes e infraestructura tecnológica. 2. Establecer y mantener un programa de seguridad de la información y ciberseguridad alineado a mejores prácticas internacionales como ISO 27001, u otro estándar aplicable aplicable, certificado por un auditor externo, independiente, acreditado y experto en temas de seguridad de la información, que incluya, incluya pero no se limite a aspectos como seguridad de la información para: para elementos físicos, digitales, virtuales y ciberespacio independiente de su tránsito y/o ubicación, del cual deberá entregar una certificación anual al supervisor del Contrato de EL BANCO DAVIVIENDA. Asimismo, capacitar a sus empleados y terceros, al Este programa como mínimo deberá incluir: i. Una capacitación formal por lo menos una vez al año y sensibilización permanente para los funcionarios que ejecuten de manera directa o indirecta el desarrollo del Contrato, en temas de relacionados con seguridad de la información y información, ciberseguridad y procedimientos, para la protección seguridad física. ii. Protección de manera anticipada contra amenazas y/o riesgosriesgos que puedan llegar a afectar la información de EL BANCO DAVIVIENDA. 13.2iii. Definir e implementar un procedimiento Un proceso de reporte, registro, investigación gestión y respuesta ante materialización de eventosa incidentes que permita identificar y documentar entre otros ítems, amenazas e incidentes de seguridad y/o ciberseguridad. El procedimiento debe ser divulgado y sensibilizado a todo el personal que prestará el servicio. El procedimiento debe establecer los responsables, las definiciones de incidentes y las acciones a tomar por parte del CONTRATISTA; entre ellas, las actividades de cooperación en la respuesta, contención e investigación del incidente con el BANCO DAVIVIENDA, una vez se detecten eventos, amenazas, incidentes de seguridad o ciberseguridad. Así mismo, debe verificar que se mantenga un registro de los eventos (causa raíz del incidente, los efectos e impactos causados, los detalles sobre el plan de respuesta y cierre, entre otros) y así como mantener las evidencias digitales, custodia y disponibilidad de las mismas. iv. Pruebas de vulnerabilidad realizadas por un tercero especializado que genere un diagnóstico del nivel de seguridad existente en todos los componentes comprometidos en la prestación del servicio contratado con una periodicidad mínima de dos (2) veces por año, con una diferencia de al menos seis meses entre cada prueba durante la vigencia del Contrato y siempre que se realicen cambios en la infraestructura tecnológica que soporta el servicio contratado. EL CONTRATISTA debe informar los planes resultados de acción las diferentes pruebas de vulnerabilidad, la gestión de remediación de los hallazgos y entregar la evidencia al Supervisor del Contrato de EL BANCO DAVIVIENDA cada vez que sean ejecutadas de acuerdo a los términos establecidos en el presente numeral. v. Procesos, procedimientos y mecanismos de control para evitar nuevas materializacionesla protección y prevención de fuga de la información contemplando el ciclo de vida de la misma (Generación, almacenamiento, distribución, uso y disposición). vi. En caso que, Procedimientos y mecanismos adecuados para el CONTRATISTA identifique una amenaza o manejo de control de acceso a la materialización información. 3. Notificar al Supervisor del Contrato de cualquier tipo de evento EL BANCO DAVIVIENDA aquellas modificaciones en sus procedimientos de seguridad de la información y ciberseguridad, incluyendo seguridad física, que afecten las condiciones de seguridad y de servicio inicialmente pactadas, las cuales deberán contar con la aprobación del Departamento de Seguridad de la Información de EL BANCO DAVIVIENDA, aprobación que en el evento de otorgarse, se expedirá 15 días después de la notificación de dicho cambio. 4. Eliminar toda la información entregada por EL BANCO DAVIVIENDA a través de herramientas o mecanismos de borrado seguro, atendiendo las mejores prácticas de la industria en estos procesos, cuando EL BANCO DAVIVIENDA lo solicite y/o ciberseguridad a la terminación del Contrato, registrando el procedimiento en acta en la que atente o pudiese afectar la reputaciónse especifique el mecanismo utilizado, la operación o cualquier tipo de afectación al BANCO DAVIVIENDA en el servicio contratadocual, el CONTRATISTA se obliga a reportar inmediatamente al correo electrónico xxxx@xxxxxxxxxx.xxx y debe ser entregada al supervisor del contrato del Contrato de EL BANCO DAVIVIENDA, para que en conjunto se tomen las acciones pertinentes. 13.35. Para los Contratos que dentro de la prestación de su servicio se reciban, almacenen, procesen, entreguen o transmitan datos de titulares de tarjetas y/o datos confidenciales de autenticación, de acuerdo al estándar PCI DSS (Payment Card Industry Data Security Standard), además de los requisitos anteriormente expuestoslo anterior, el CONTRATISTA se obliga exige a mantener EL CONTRATISTA: i. La certificación vigente la certificación con de los requisitos de la regulación PCI DSS (Payment Card Industry Data Security Standard) que apliquen al proceso contratado por el BANCO DAVIVIENDA y enviar anualmente al Supervisor del Contrato del EL BANCO DAVIVIENDA. ii. Con una periodicidad mínima anual, envío de evidencia de la certificación vigente PCI/DSS de dichos requisitos expedida por un QSA (Qualified Security Assessor) avalado por PCI/SSC (Security Standard council)a EL BANCO DAVIVIENDA. 13.46. Para los Contratos que incluyan cualquier tipo de servicio alojado en la nube, el EL CONTRATISTA se obliga a cumplir con la normativa normatividad vigente, los estándares y mejores prácticas definidas en la industria, así como las políticas establecidas por el EL BANCO DAVIVIENDA para este fin, las cuales se incorporan como anexo al Contrato y hace parte integral del mismo. 13.5. El CONTRATISTA, debe realizar pruebas de vulnerabilidades en todos los componentes comprometidos en la prestación del servicio contratado, con una periodicidad mínima de dos (2) veces por año, con una diferencia de al menos seis meses entre cada prueba. Así mismo, debe realizar al menos una (1) vez al año un Ethical Hacking durante la vigencia del contrato, y siempre que se realicen cambios en la infraestructura tecnológica que soporta el servicio contratado. El CONTRATISTA se obliga a dar cierre a las vulnerabilidades identificadas de acuerdo con su criticidad en un periodo no mayor a: críticas/altas: 30 días, medias/severas: 60 días y moderadas o bajas: 90 días. Así mismo, debe realizar pruebas trimestrales sobre las aplicaciones. 13.6. En caso que, el BANCO DAVIVIENDA considere necesario, podrá solicitar una certificación sobre la ejecución de las pruebas y/o plan de remediación de las vulnerabilidades detectadas. Adicionalmente, el BANCO DAVIVIENDA podrá compartir con el CONTRATISTA el informe con los hallazgos identificados producto de sus evaluaciones o monitoreos de seguridad de la información y ciberseguridad, las cuales deberán ser remediadas en los mismos tiempos mencionados anteriormente. 13.7. El CONTRATISTA debe reportar al Supervisor del Contrato del BANCO DAVIVIENDA los casos en que se presenten incumplimientos en los tiempos de remediación de las vulnerabilidades críticas y altas sobre la infraestructura que directa o indirectamente afecte la prestación del servicio, incluyendo las fechas de cierre de las mismas. El CONTRATISTA deberá remitir la certificación correspondiente una vez hayan sido subsanadas. 13.8. El CONTRATISTA, se obliga a conocer y cumplir los lineamientos y directrices de la Norma de Seguridad de la Información para Terceros del BANCO DAVIVIENDA la cual se encuentra publicada en xxxxx://xxxxxxxxxxx.xxxxxxxxxx.xxx/xxxxxxx-xx- riesgo/ que apliquen al presente contrato. Así mismo, hará un uso pertinente y estricto de las plataformas tecnológicas que el BANCO DAVIVIENDA le disponibilice para la prestación del servicio contratado, absteniéndose de interferir en otras redes, enviar o propagar virus informáticos o realizar cualquier actividad que vaya en contra de ésta política y la normativa vigente sobre el particular. 13.9. Notificar al Supervisor del Contrato del BANCO DAVIVIENDA aquellas modificaciones en sus procedimientos de seguridad de la información y ciberseguridad, incluyendo seguridad física, que afecten las condiciones de seguridad del servicio inicialmente pactadas, las cuales deberán contar con la aprobación del BANCO DAVIVIENDA, aprobación que, en el evento de otorgarse, se expedirá 15 días después de la notificación de dicho cambio.

SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD. Teniendo en cuenta que la información del de EL BANCO DAVIVIENDA es uno de sus activos más importantes, el CONTRATISTA EL VENDEDOR se obliga asujetará a las siguientes obligaciones: 13.11. Contar con dispositivos y herramientas de seguridad idóneos que protejan sus redes e infraestructura tecnológica. 2. Establecer y mantener un programa de seguridad de la información y ciberseguridad alineado a mejores prácticas internacionales como ISO 27001ISO27001, u otro estándar aplicable aplicable, certificado por un auditor externo, independiente, acreditado y experto en temas de seguridad de la información, que incluya, incluya pero no se limite a aspectos como seguridad de la información para: para elementos físicos, digitales, virtuales y ciberespacio independiente de su tránsito y/o ubicación, del cual deberá entregar una certificación anual al supervisor del contrato con EL BANCO DAVIVIENDA. Asimismo, capacitar a sus empleados y terceros, al Este programa como mínimo deberá incluir: i. Una capacitación formal por lo menos una vez al año y sensibilización permanente para los funcionarios que ejecuten de manera directa o indirecta el desarrollo del contrato, en temas de relacionados con seguridad de la información y información, ciberseguridad y procedimientos, para la protección seguridad física. ii. Protección de manera anticipada contra amenazas y/o riesgos.riesgos que puedan llegar a afectar la información de 13.2iii. Definir e implementar un procedimiento Un proceso de reporte, registro, investigación gestión y respuesta ante materialización de eventosa incidentes que permita identificar y documentar entre otros ítems, amenazas e incidentes de seguridad y/o ciberseguridad. El procedimiento debe ser divulgado y sensibilizado a todo el personal que prestará el servicio. El procedimiento debe establecer los responsables, las definiciones de incidentes y las acciones a tomar por parte del CONTRATISTA; entre ellas, las actividades de cooperación en la respuesta, contención e investigación del incidente con el BANCO DAVIVIENDA, una vez se detecten eventos, amenazas, incidentes de seguridad o ciberseguridad. Así mismo, debe verificar que se mantenga un registro de los eventos (causa raíz del incidente, los efectos e impactos causados, los detalles sobre el plan de respuesta y cierre, entre otros) y así como mantener las evidencias digitales, custodia y disponibilidad de las mismas. iv. Pruebas de vulnerabilidad realizadas por un tercero especializado que genere un diagnóstico del nivel de seguridad existente en todos los componentes comprometidos en la prestación del servicio contratado con una periodicidad mínima de dos (2) veces por año, con una diferencia de al menos seis meses entre cada prueba durante la vigencia del contrato y siempre que se realicen cambios en la infraestructura tecnológica que soporta el servicio contratado. EL VENDEDOR debe informar los planes resultados de acción las diferentes pruebas de vulnerabilidad, la gestión de remediación de los hallazgos y entregar la evidencia al Supervisor del Contrato de EL BANCO DAVIVIENDA cada vez que sean ejecutadas de acuerdo a los términos establecidos en el presente numeral. v. Procesos, procedimientos y mecanismos de control para evitar nuevas materializacionesla protección y prevención de fuga de la información contemplando el ciclo de vida de la misma (Generación, almacenamiento, distribución, uso y Disposición) vi. En caso que, Procedimientos y mecanismos adecuados para el CONTRATISTA identifique una amenaza o manejo de control de acceso a la materialización Información. 3. Notificar al Supervisor del Contrato de cualquier tipo de evento EL BANCO DAVIVIENDA aquellas modificaciones en sus procedimientos de seguridad de la información y ciberseguridad, incluyendo seguridad física, que afecten las condiciones de seguridad y de servicio inicialmente pactadas, las cuales deberán contar con la aprobación del Departamento de Seguridad de la Información de EL BANCO DAVIVIENDA, aprobación que en el evento de otorgarse, se expedirá 15 días después de la notificación de dicho cambio. 4. Eliminar toda la información entregada por EL BANCO DAVIVIENDA a través de herramientas o mecanismos de borrado seguro, atendiendo las mejores prácticas de la industria en estos procesos, cuando EL BANCO DAVIVIENDA lo solicite y/o ciberseguridad a la terminación del contrato, registrando el procedimiento en acta en la que atente o pudiese afectar la reputaciónse especifique el mecanismo utilizado, la operación o cualquier tipo de afectación al BANCO DAVIVIENDA en el servicio contratadocual, el CONTRATISTA se obliga a reportar inmediatamente al correo electrónico xxxx@xxxxxxxxxx.xxx y debe ser entregada al supervisor del contrato del de EL BANCO DAVIVIENDA, para que en conjunto se tomen las acciones pertinentes. 13.35. Para los Contratos que dentro de la prestación de su servicio se reciban, almacenen, procesen, entreguen o transmitan datos de titulares de tarjetas y/o datos confidenciales de autenticación, de acuerdo al estándar PCI DSS (Payment Card Industry Data Security Standard), además de los requisitos anteriormente expuestoslo anterior, el CONTRATISTA se obliga exige a mantener EL VENDEDOR: i. La certificación vigente la certificación con de los requisitos de la regulación PCI DSS (Payment Card Industry Data Security Standard) que apliquen al proceso contratado por el BANCO DAVIVIENDA y enviar anualmente al Supervisor del Contrato del EL BANCO DAVIVIENDA. ii. Con una periodicidad mínima anual, envío de evidencia de la certificación vigente PCI/DSS de dichos requisitos expedida por un QSA (Qualified Security Assessor) avalado por PCI/SSC (Security Standard council)a EL BANCO DAVIVIENDA. 13.46. Para los Contratos que incluyan cualquier tipo de servicio alojado con información alojada en la nube, el CONTRATISTA EL VENDEDOR se obliga a cumplir con la normativa vigente, los estándares y mejores prácticas definidas en la industria, así como las políticas establecidas por el EL BANCO DAVIVIENDA para este fin, las cuales se incorporan como son anexo al Contrato y que hace parte integral del mismocontrato. 13.5. El CONTRATISTA, debe realizar pruebas de vulnerabilidades en todos los componentes comprometidos en la prestación del servicio contratado, con una periodicidad mínima de dos (2) veces por año, con una diferencia de al menos seis meses entre cada prueba. Así mismo, debe realizar al menos una (1) vez al año un Ethical Hacking durante la vigencia del contrato, y siempre que se realicen cambios en la infraestructura tecnológica que soporta el servicio contratado. El CONTRATISTA se obliga a dar cierre a las vulnerabilidades identificadas de acuerdo con su criticidad en un periodo no mayor a: críticas/altas: 30 días, medias/severas: 60 días y moderadas o bajas: 90 días. Así mismo, debe realizar pruebas trimestrales sobre las aplicaciones. 13.6. En caso que, el BANCO DAVIVIENDA considere necesario, podrá solicitar una certificación sobre la ejecución de las pruebas y/o plan de remediación de las vulnerabilidades detectadas. Adicionalmente, el BANCO DAVIVIENDA podrá compartir con el CONTRATISTA el informe con los hallazgos identificados producto de sus evaluaciones o monitoreos de seguridad de la información y ciberseguridad, las cuales deberán ser remediadas en los mismos tiempos mencionados anteriormente. 13.7. El CONTRATISTA debe reportar al Supervisor del Contrato del BANCO DAVIVIENDA los casos en que se presenten incumplimientos en los tiempos de remediación de las vulnerabilidades críticas y altas sobre la infraestructura que directa o indirectamente afecte la prestación del servicio, incluyendo las fechas de cierre de las mismas. El CONTRATISTA deberá remitir la certificación correspondiente una vez hayan sido subsanadas. 13.8. El CONTRATISTA, se obliga a conocer y cumplir los lineamientos y directrices de la Norma de Seguridad de la Información para Terceros del BANCO DAVIVIENDA la cual se encuentra publicada en xxxxx://xxxxxxxxxxx.xxxxxxxxxx.xxx/xxxxxxx-xx- riesgo/ que apliquen al presente contrato. Así mismo, hará un uso pertinente y estricto de las plataformas tecnológicas que el BANCO DAVIVIENDA le disponibilice para la prestación del servicio contratado, absteniéndose de interferir en otras redes, enviar o propagar virus informáticos o realizar cualquier actividad que vaya en contra de ésta política y la normativa vigente sobre el particular. 13.9. Notificar al Supervisor del Contrato del BANCO DAVIVIENDA aquellas modificaciones en sus procedimientos de seguridad de la información y ciberseguridad, incluyendo seguridad física, que afecten las condiciones de seguridad del servicio inicialmente pactadas, las cuales deberán contar con la aprobación del BANCO DAVIVIENDA, aprobación que, en el evento de otorgarse, se expedirá 15 días después de la notificación de dicho cambio.

SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD. Teniendo en cuenta que la información del BANCO DAVIVIENDA es uno de sus activos más importantes, el CONTRATISTA se obliga a: 13.120.1. Establecer y mantener un programa de seguridad de la información y ciberseguridad alineado a mejores prácticas internacionales como ISO 27001, u otro estándar aplicable que incluya, pero no se limite a aspectos como seguridad de la información para: elementos físicos, digitales, virtuales y ciberespacio independiente de su tránsito y/o ubicación. Asimismo, capacitar a sus empleados y terceros, al menos una vez al año en temas de seguridad de la información y ciberseguridad y procedimientos, para la protección de manera anticipada contra amenazas y/o riesgos. 13.220.2. Definir e implementar un procedimiento de reporte, registro, investigación y respuesta ante materialización de eventos, amenazas e incidentes de seguridad y/o ciberseguridad. El procedimiento debe ser divulgado y sensibilizado a todo el personal que prestará el servicio. El procedimiento debe establecer los responsables, las definiciones de incidentes y las acciones a tomar por parte del CONTRATISTA; entre ellas, las actividades de cooperación en la respuesta, contención e investigación del incidente con el BANCO DAVIVIENDA, una vez se detecten eventos, amenazas, incidentes de seguridad o ciberseguridad. Así mismo, debe verificar que se mantenga un registro de los eventos (causa raíz del incidente, los efectos e impactos causados, los detalles sobre el plan de respuesta y cierre, entre otros) y mantener las evidencias digitales, custodia y disponibilidad de las mismas, y los planes de acción para evitar nuevas materializaciones. En caso que, el CONTRATISTA identifique una amenaza o la materialización de cualquier tipo de evento de seguridad de la información y/o ciberseguridad que atente o pudiese afectar la reputación, la operación o cualquier tipo de afectación al BANCO DAVIVIENDA en el servicio contratado, el CONTRATISTA se obliga a reportar inmediatamente al correo electrónico xxxx@xxxxxxxxxx.xxx y al supervisor del contrato del BANCO DAVIVIENDA, para que en conjunto se tomen las acciones pertinentes. 13.320.3. Para los Contratos que dentro de la prestación de su servicio reciban, almacenen, procesen, entreguen o transmitan datos de titulares de tarjetas y/o datos confidenciales de autenticación, de acuerdo al estándar PCI DSS (Payment Card Industry Data Security Standard), además de los requisitos anteriormente expuestos, el CONTRATISTA se obliga a mantener vigente la certificación con los requisitos de la regulación PCI DSS (Payment Card Industry Data Security Standard) que apliquen al proceso contratado por el BANCO DAVIVIENDA y enviar anualmente al Supervisor del Contrato del BANCO DAVIVIENDA, la certificación vigente PCI/DSS expedida por un QSA (Qualified Security Assessor) avalado por PCI/SSC (Security Standard council). 13.420.4. Para los Contratos que incluyan cualquier tipo de servicio alojado en la nube, el CONTRATISTA se obliga a cumplir con la normativa vigente, los estándares y mejores prácticas definidas en la industria, así como las políticas establecidas por el BANCO DAVIVIENDA para este fin, las cuales se incorporan como anexo al Contrato y hace parte integral del mismo. 13.520.5. El CONTRATISTA, debe realizar pruebas de vulnerabilidades en todos los componentes comprometidos en la prestación del servicio contratado, con una periodicidad mínima de dos (2) veces por año, con una diferencia de al menos seis meses entre cada prueba. Así mismo, debe realizar al menos una (1) vez al año un Ethical Hacking durante la vigencia del contrato, y siempre que se realicen cambios en la infraestructura tecnológica que soporta el servicio contratado. El CONTRATISTA se obliga a dar cierre a las vulnerabilidades identificadas de acuerdo con su criticidad en un periodo no mayor a: críticas/altas: 30 días, medias/severas: 60 días y moderadas o bajas: 90 días. Así mismo, debe realizar pruebas trimestrales sobre las aplicaciones. 13.620.6. En caso que, el BANCO DAVIVIENDA considere necesario, podrá solicitar una certificación sobre la ejecución de las pruebas y/o plan de remediación de las vulnerabilidades detectadas. Adicionalmente, el BANCO DAVIVIENDA podrá compartir con el CONTRATISTA el informe con los hallazgos identificados producto de sus evaluaciones o monitoreos de seguridad de la información y ciberseguridad, las cuales deberán ser remediadas en los mismos tiempos mencionados anteriormente. 13.720.7. El CONTRATISTA debe reportar al Supervisor del Contrato del BANCO DAVIVIENDA los casos en que se presenten incumplimientos en los tiempos de remediación de las vulnerabilidades críticas y altas sobre la infraestructura que directa o indirectamente afecte la prestación del servicio, incluyendo las fechas de cierre de las mismas. El CONTRATISTA deberá remitir la certificación correspondiente una vez hayan sido subsanadas. 13.820.8. El CONTRATISTA, se obliga a conocer y cumplir los lineamientos y directrices de la Norma de Seguridad de la Información para Terceros del BANCO DAVIVIENDA la cual se encuentra publicada en xxxxx://xxxxxxxxxxx.xxxxxxxxxx.xxx/xxxxxxx-xx- riesgo/ que apliquen al presente contrato. Así mismo, hará un uso pertinente y estricto de las plataformas tecnológicas que el BANCO DAVIVIENDA le disponibilice para la prestación del servicio contratado, absteniéndose de interferir en otras redes, enviar o propagar virus informáticos o realizar cualquier actividad que vaya en contra de ésta política y la normativa vigente sobre el particular. 13.920.9. Notificar al Supervisor del Contrato del BANCO DAVIVIENDA aquellas modificaciones en sus procedimientos de seguridad de la información y ciberseguridad, incluyendo seguridad física, que afecten las condiciones de seguridad del servicio inicialmente pactadas, las cuales deberán contar con la aprobación del BANCO DAVIVIENDA, aprobación que, en el evento de otorgarse, se expedirá 15 días después de la notificación de dicho cambio.

SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD. Teniendo en cuenta que la información del de EL BANCO DAVIVIENDA es uno de sus activos más importantes, el EL CONTRATISTA se obliga aobliga: 13.11. EL CONTRATISTA, se obliga a conocer y cumplir los lineamientos y directrices de la Norma de Seguridad de la Información para Terceros de BANCO DAVIVIENDA la cual se encuentra publicada en xxxxx://xxxxxxxxxxx.xxxxxxxxxx.xxx/xxxxxxx-xx-xxxxxx/ que apliquen al presente contrato. Así mismo, hará un uso pertinente y estricto de las plataformas tecnológicas que EL BANCO DAVIVIENDA le disponibilice para la prestación del servicio contratado, absteniéndose de interferir en otras redes, enviar o propagar virus informáticos o realizar cualquier actividad que vaya en contra de ésta política y la normativa vigente sobre el particular. 2. Establecer y mantener un programa de seguridad de la información y ciberseguridad alineado a mejores prácticas internacionales como ISO 27001, u otro estándar aplicable que incluya, pero no se limite a aspectos como seguridad de la información para: para elementos físicos, digitales, virtuales y ciberespacio independiente de su tránsito y/o ubicación. Asimismo, capacitar a sus empleados y terceros, al menos una vez al año en temas de seguridad de la información y ciberseguridad y procedimientos, para la protección de manera anticipada contra amenazas y/o riesgos. 13.23. Definir Tener definido e implementar implementado un procedimiento de reporte, registro, investigación y respuesta ante materialización de eventos, amenazas e incidentes de seguridad y/o ciberseguridad. El procedimiento debe ser divulgado y sensibilizado a todo el personal que prestará el servicio. El procedimiento debe establecer los responsables, las definiciones de incidentes y las acciones a tomar por parte del de EL CONTRATISTA; entre ellas, ellas las actividades de cooperación en la respuesta, contención e investigación del incidente con el EL BANCO DAVIVIENDA, DAVIVIENDA una vez se detecten eventos, amenazas, incidentes de seguridad o ciberseguridad. Así mismo, mismo debe verificar que se mantenga un registro de los eventos (causa raíz del incidente, los efectos e impactos causados, los detalles sobre el plan de respuesta y cierre, entre otros) y mantener las evidencias digitales, custodia y disponibilidad de las mismas, y los planes de acción para evitar nuevas materializaciones. En caso que, el que EL CONTRATISTA identifique una amenaza o la materialización de cualquier tipo de evento de seguridad de la información y/o ciberseguridad que atente o pudiese afectar la reputación, la operación o cualquier tipo de afectación al BANCO DAVIVIENDA en el servicio contratado, el CONTRATISTA contratado se obliga a debe reportar inmediatamente al correo electrónico xxxx@xxxxxxxxxx.xxx y al supervisor del contrato del BANCO DAVIVIENDA, para que en conjunto se tomen las acciones pertinentes. 13.34. Realizar pruebas de vulnerabilidades en todos los componentes comprometidos en la prestación del servicio contratado con una periodicidad mínima de dos (2) veces por año, con una diferencia de al menos seis meses entre cada prueba. Así mismo debe realizar al menos una (1) vez al año un Ethical Hacking durante la vigencia del contrato, y siempre que se realicen cambios en la infraestructura tecnológica que soporta el servicio contratado. EL CONTRATISTA debe comprometerse a dar cierre a las vulnerabilidades identificadas de acuerdo a su criticidad en un periodo no mayor a: críticas/altas: 30 días, medias/severas: 60 días y moderadas o bajas: 90 días. Así mismo debe realizar pruebas trimestrales sobre las aplicaciones. EL CONTRATISTA debe reportar al Supervisor del Contrato de EL BANCO DAVIVIENDA en los casos en que se presenten incumplimientos en los tiempos de remediación de las vulnerabilidades críticas y altas sobre la infraestructura que directa o indirectamente afecte la prestación del servicio incluyendo las fechas de cierre de las mismas. EL CONTRATISTA deberá remitir la certificación correspondiente una vez hayan sido subsanadas. 5. Notificar al Supervisor del Contrato de EL BANCO DAVIVIENDA aquellas modificaciones en sus procedimientos de seguridad de la información y ciberseguridad, incluyendo seguridad física, que afecten las condiciones de seguridad del servicio inicialmente pactadas, las cuales deberán contar con la aprobación de EL BANCO DAVIVIENDA, aprobación que, en el evento de otorgarse, se expedirá 15 días después de la notificación de dicho cambio. 6. Para los Contratos que dentro de la prestación de su servicio reciban, almacenen, procesen, entreguen o transmitan datos de titulares de tarjetas y/o datos confidenciales de autenticación, de acuerdo al estándar PCI DSS (Payment Card Industry Data Security Standard), además de los requisitos anteriormente expuestos, el CONTRATISTA se obliga exige a mantener EL CONTRATISTA: i. La certificación vigente la certificación con de los requisitos de la regulación PCI DSS (Payment Card Industry Data Security Standard) que apliquen al proceso contratado por el BANCO DAVIVIENDA y enviar anualmente al Supervisor del Contrato del EL BANCO DAVIVIENDA, . ii. Envío anual de la certificación vigente del cumpliento de PCI/DSS expedida por un QSA (Qualified Security Assessor) avalado por PCI/SSC (Security Standard council)) a EL BANCO DAVIVIENDA. 13.47. Para los Contratos que incluyan cualquier tipo de servicio alojado en la nube, el EL CONTRATISTA se obliga a cumplir con la normativa normatividad vigente, los estándares y mejores prácticas definidas en la industria, así como las políticas establecidas por el EL BANCO DAVIVIENDA para este fin, las cuales se incorporan como anexo al Contrato y hace parte integral del mismo. 13.5. El CONTRATISTA, debe realizar pruebas de vulnerabilidades en todos los componentes comprometidos en la prestación del servicio contratado, con una periodicidad mínima de dos (2) veces por año, con una diferencia de al menos seis meses entre cada prueba. Así mismo, debe realizar al menos una (1) vez al año un Ethical Hacking durante la vigencia del contrato, y siempre que se realicen cambios en la infraestructura tecnológica que soporta el servicio contratado. El CONTRATISTA se obliga a dar cierre a las vulnerabilidades identificadas de acuerdo con su criticidad en un periodo no mayor a: críticas/altas: 30 días, medias/severas: 60 días y moderadas o bajas: 90 días. Así mismo, debe realizar pruebas trimestrales sobre las aplicaciones. 13.6. En caso que, el BANCO DAVIVIENDA considere necesario, podrá solicitar una certificación sobre la ejecución de las pruebas y/o plan de remediación de las vulnerabilidades detectadas. Adicionalmente, el BANCO DAVIVIENDA podrá compartir con el CONTRATISTA el informe con los hallazgos identificados producto de sus evaluaciones o monitoreos de seguridad de la información y ciberseguridad, las cuales deberán ser remediadas en los mismos tiempos mencionados anteriormente. 13.7. El CONTRATISTA debe reportar al Supervisor del Contrato del BANCO DAVIVIENDA los casos en que se presenten incumplimientos en los tiempos de remediación de las vulnerabilidades críticas y altas sobre la infraestructura que directa o indirectamente afecte la prestación del servicio, incluyendo las fechas de cierre de las mismas. El CONTRATISTA deberá remitir la certificación correspondiente una vez hayan sido subsanadas. 13.8. El CONTRATISTA, se obliga a conocer y cumplir los lineamientos y directrices de la Norma de Seguridad de la Información para Terceros del BANCO DAVIVIENDA la cual se encuentra publicada en xxxxx://xxxxxxxxxxx.xxxxxxxxxx.xxx/xxxxxxx-xx- riesgo/ que apliquen al presente contrato. Así mismo, hará un uso pertinente y estricto de las plataformas tecnológicas que el BANCO DAVIVIENDA le disponibilice para la prestación del servicio contratado, absteniéndose de interferir en otras redes, enviar o propagar virus informáticos o realizar cualquier actividad que vaya en contra de ésta política y la normativa vigente sobre el particular. 13.9. Notificar al Supervisor del Contrato del BANCO DAVIVIENDA aquellas modificaciones en sus procedimientos de seguridad de la información y ciberseguridad, incluyendo seguridad física, que afecten las condiciones de seguridad del servicio inicialmente pactadas, las cuales deberán contar con la aprobación del BANCO DAVIVIENDA, aprobación que, en el evento de otorgarse, se expedirá 15 días después de la notificación de dicho cambio.