Common use of SEGURIDAD DE LA INFORMACIÓN Clause in Contracts

SEGURIDAD DE LA INFORMACIÓN. Con la presentación de la oferta se entiende la aceptación del proponente, en caso de resultar adjudicatario, de adherirse a las Políticas de Seguridad de la Información que tiene adoptadas ETB para la protección de su información y la de sus terceros, las cuales se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista se obliga a cumplir con las políticas de seguridad de la información y de protección o tratamiento de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes de seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con todos los medios a su alcance para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas de seguridad de la información de ETB. Antes de la finalización del contrato, el Contratista deberá devolver los activos físicos y electrónicos encomendados, garantizando que la información pertinente se devuelva a ETB de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimiento.

SEGURIDAD DE LA INFORMACIÓN. Con La Compañía Adjudicataria se compromete a aplicar todos los resguardos necesarios para asegurar la presentación confidencialidad, integridad y disponibilidad de todos los activos de información de la oferta se entiende Entidad Crediticia, a que tenga acceso con motivo u ocasión del contrato. Cuando los servicios entregados a la aceptación del proponente, en caso de resultar adjudicatario, de adherirse a las Políticas de Seguridad Entidad Crediticia requieran que la Compañía Aseguradora ocupe instalaciones propias de la Información que tiene adoptadas ETB para la protección Entidad Crediticia o de su información y la de sus tercerospersonas relacionadas y/o tenga acceso a documentación, las cuales se obligan a conocer y cumplirequipamiento, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente redes y/o aplicaciones de la forma de vinculación del mismoEntidad Crediticia, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista Compañía Aseguradora se obliga a cumplir respetar las siguientes condiciones: a) La Compañía Aseguradora cumplirá con las políticas disposiciones de trabajo, medidas de seguridad y esquema de accesos lógicos y físicos aplicables por la Entidad Crediticia y cualquiera de sus personas relacionadas, según corresponda; b) La Compañía Aseguradora utilizará la documentación, equipamiento, redes, aplicaciones y/o cualquier otro activo de información para el único propósito de cumplir las obligaciones que le impone el contrato. En ningún caso, la Compañía Aseguradora podrá utilizar dichos recursos para desarrollar actividades para personas o entidades distintas a la Entidad Crediticia o sus personas relacionadas; c) La Compañía Aseguradora acuerda que sus empleados y terceros, por los que responde, no violarán o intentarán violar ninguno de los sistemas de seguridad de la información y Entidad Crediticia, u obtener, o intentar obtener acceso a ningún programa o datos más allá de protección o tratamiento lo necesario para desarrollar las actividades descritas en el contrato; d) La Compañía Aseguradora es responsable de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes de seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con utilizar todos los medios a su alcance disponibles para su remediación. Sin perjuicio evitar la introducción de cualquier tipo de software malicioso (virus, troyanos, gusanos, etc.) en el equipamiento la Entidad Crediticia, e informar en forma inmediata cualquier violación que detecte al respecto; e) La Compañía Aseguradora deberá mantener en forma separada o aislada de otros clientes todos los reportes activos de información que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad posea de la información. El Contratista debe impartir a Entidad Crediticia, sean estos físicos o magnéticos que permitan su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas de seguridad de la información de ETB. Antes de la finalización del contrato, el Contratista deberá devolver los activos físicos y electrónicos encomendados, garantizando que la información pertinente se devuelva a ETB de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimientoentrega inmediata.

SEGURIDAD DE LA INFORMACIÓN. Con La Compañía Adjudicataria se compromete a aplicar todos los resguardos necesarios para asegurar la presentación confidencialidad, integridad y disponibilidad de todos los activos de información de la oferta se entiende Entidad Crediticia, a que tenga acceso con motivo u ocasión del contrato. Cuando los servicios entregados a la aceptación del proponente, en caso de resultar adjudicatario, de adherirse a las Políticas de Seguridad Entidad Crediticia requieran que la Compañía Aseguradora ocupe instalaciones propias de la Información que tiene adoptadas ETB para la protección Entidad Crediticia o de su información y la de sus tercerospersonas relacionadas y/o tenga acceso a documentación, las cuales se obligan a conocer y cumplirequipamiento, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente redes y/o aplicaciones de la forma de vinculación del mismoEntidad Licitante, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista Compañía Aseguradora se obliga a cumplir respetar las siguientes condiciones: a) La Compañía Aseguradora cumplirá con las políticas disposiciones de trabajo, medidas de seguridad y esquema de accesos lógicos y físicos aplicables por la Entidad Crediticia y cualquiera de sus personas relacionadas, según corresponda; b) La Compañía Aseguradora utilizará la documentación, equipamiento, redes, aplicaciones y/o cualquier otro activo de información para el único propósito de cumplir las obligaciones que le impone el contrato. En ningún caso, la Compañía Aseguradora podrá utilizar dichos recursos para desarrollar actividades para personas o entidades distintas a la Entidad Crediticia o sus personas relacionadas; c) La Compañía Aseguradora acuerda que sus empleados y terceros, por los que responde, no violarán o intentarán violar ninguno de los sistemas de seguridad de la información y Entidad Licitante, u obtener, o intentar obtener acceso a ningún programa o datos más allá de protección o tratamiento lo necesario para desarrollar las actividades descritas en el contrato; d) La Compañía Aseguradora es responsable de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes de seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con utilizar todos los medios a su alcance disponibles para su remediación. Sin perjuicio evitar la introducción de los reportes que realice ante ETBcualquier tipo de software malicioso (virus, troyanos, gusanos, etc.) en el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad equipamiento de la información. El Contratista debe impartir a su personalEntidad Crediticia, con relación a las acciones e informar en forma inmediata cualquier violación que detecte al respecto; e) La Compañía Aseguradora deberá mantener en forma separada o aislada de toma otros clientes todos los activos de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad información que posea de la informaciónEntidad Licitante, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento sean estos físicos o lugar, el cumplimiento de las políticas de seguridad de la información de ETB. Antes de la finalización del contrato, el Contratista deberá devolver los activos físicos y electrónicos encomendados, garantizando magnéticos que la información pertinente se devuelva a ETB de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimientopermitan su entrega inmediata.

SEGURIDAD DE LA INFORMACIÓN. Con El CONTRATISTA en cumplimiento del contrato en los eventos que aplique, deberá cumplir los siguientes deberes: • Adoptará las medidas de índole técnica y organizativas necesarias para garantizar la presentación confidencialidad, integridad y disponibilidad de la oferta información y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o de fenómenos físicos o naturales. A estos efectos el CONTRATISTA deberá aplicar los aspectos establecidos en la Norma ISO 27001:2013, de acuerdo con la naturaleza de los datos que trate. La información revelada será dirigida al CONTRATISTA y los contenidos serán sólo para el uso de quienes haya sido dirigida, y no deberá divulgarse a terceras personas. El CONTRATISTA se entiende hará responsable ante terceros a quienes se haya divulgado esta información sin previo consentimiento. • Asegurará que, como producto de este contrato, entregará a PROCOLOMBIA/FIDUCOLDEX una solución que garantice confidencialidad, integridad y disponibilidad de la aceptación del proponenteinformación relacionada con el objeto de este. • Tramitará de manera previa la autorización de PROCOLOMBIA/FIDUCOLDEX para cualquier conexión e interacción con la red de la fiduciaria y su información. • Aceptará el monitoreo de cualquier conexión e interacción con la red de la fiduciaria y su información cuando FIDUCOLDEX lo considere oportuno. • Garantizará que toda actualización y modificación a la infraestructura tecnológica de la fiduciaria será validada y aprobada en forma previa por la Gerencia de Informática y Tecnología de FIDUCOLDEX. • Garantizará que cualquier interrupción programada de la solución o servicio contratado con fines de actualización y mejoras debe ser administrada bajo un acuerdo de nivel de servicios previamente acordada con PROCOLOMBIA, principalmente con el fin de mantener informados a sus clientes y usuarios en los términos que establece la ley. • Utilizará los recursos tecnológicos que le entregue FIDUCOLDEX/PROCOLOMBIA, en caso forma exclusiva para el desarrollo de resultar adjudicatariola labor para la cual fue contratado. • Cumplirá con especial cuidado, el principio de adherirse buen uso y confidencialidad de los medios de acceso que ha entregado FIDUCOLDEX/PROCOLOMBIA para el desarrollo del objeto del contrato. • Asegurará que, al término del contrato, toda información, software, dispositivos y demás elementos tecnológicos de propiedad de PROCOLOMBIA/FIDUCOLDEX serán eliminados de los equipos del proveedor, atendiendo los acuerdos de confidencialidad. • Garantizará a PROCOLOMBIA/FIDUCOLDEX que el personal asignado por el CONTRATISTA para la atención del contrato conoce y cumple las Políticas políticas contenidas en este contrato y responde por cualquier inobservancia de estas. • Dará cumplimiento a lo estipulado en la política de Seguridad de la Información que tiene adoptadas ETB información para la protección las relaciones con proveedores, relacionado con: − Se autoriza a PROCOLOMBIA/FIDUCOLDEX a evaluar y auditar los controles de su información y la de sus tercerosseguridad implementados por el proveedor, las cuales en forma periódica o cuando se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas presenten cambios significativos en los controles o en la página web de ETB xxx.xxx.xxxrelación contractual entre ambas partes. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista − El CONTRATISTA se obliga a cumplir con las políticas de seguridad de la información y de protección o tratamiento de datos personales de los clientes de ETB. ETB podrá requerir informar a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente PROCOLOMBIA/FIDUCOLDEX sobre cualquier retiro o cambio que éste realice sobre el personal que accede violación a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información que afecte sus operaciones o sus negocios. − El CONTRATISTA comunicará a PROCOLOMBIA/FIDUCOLDEX los planes de tratamiento que contempla ante posibles violaciones de la seguridad y reportar los tiempos en que tendrán efecto esas acciones. − El CONTRATISTA informará a PROCOLOMBIA/FIDUCOLDEX, todos los cambios en su entorno que afecten el negocio o la operación de manera inmediata su cliente, en forma oportuna. − El CONTRATISTA comunicará a PROCOLOMBIA/FIDUCOLDEX los cambios o modificaciones programados de los servicios prestados, los cuales serán previamente autorizados por la ocurrencia Fiduciaria. Los cambios serán documentados por el CONTRATISTA. − El CONTRATISTA puede tener la necesidad de incidentes aplicar a otras organizaciones con las que suscriba acuerdos, las mismas políticas y condiciones que a él le ha impuesto FIDUCOLDEX, en la medida en la que se conforme una cadena de suministro. − En caso de que los funcionarios del proveedor tengan acceso, procesen o almacenen, información de la Fiduciaria, se les brindará el programa de concientización y capacitación sobre seguridad de la información entidad. − Los recursos que puedan vulnerar la confidencialidadPROCOLOMBIA/FIDUCOLDEX pone a disposición del personal externo, integridad y/independientemente del tipo que sean (informáticos, datos (físicos o disponibilidad lógicos), software, redes, sistemas de la información de ETB o de sus terceroscomunicación, tratada en desarrollo del contratoetc.), contribuyendo, además, con todos los medios a su alcance están disponibles exclusivamente para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas obligaciones y propósito de seguridad la operativa para la que fueron contratados. − Si la información de propiedad de PROCOLOMBIA/FIDUCOLDEX es administrada por un tercero, se requiere contar con procedimientos y compromisos que garanticen un manejo seguro de la información durante la vigencia del contrato. − Si para fines de ETBsu labor el CONTRATISTA debe tener acceso a información sensible de PROCOLOMBIA/FIDUCOLDEX o administrada por éste, está se proporcionará con las medidas de seguridad necesarias, con el fin de que no pueda ser modificada o alterada por el CONTRATISTA. Antes de − No revelará a terceros la finalización información a la que tenga acceso durante la prestación del servicio − Al terminar el contrato, el Contratista CONTRATISTA deberá devolver los activos físicos y electrónicos encomendadosequipos, garantizando que software o la información pertinente entregada por PROCOLOMBIA/FIDUCOLDEX ya sea en formato electrónico o papel o en su defecto destruirla previa autorización de éste y conforme a las políticas de disposición final de documentos. − Los funcionarios del CONTRATISTA no podrán tener acceso a áreas o zonas seguras de FIDUCOLDEX. Sí fuera necesario su ingreso a determinadas áreas será necesario la autorización de un funcionario de la entidad el cual deberá acompañar al CONTRATISTA durante el tiempo que este permanezca en dicha área. El funcionario del CONTRATISTA dejará el registro de la visita en las bitácoras dispuestas para tal fin − Los funcionarios del CONTRATISTA se devuelva anunciarán en la recepción de FIDUCOLDEX a ETB su ingreso y salida, y registrarán los equipos necesarios para la realización de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y su labor en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimientola entidad.

SEGURIDAD DE LA INFORMACIÓN. Con la presentación de la oferta se entiende la aceptación del proponente, en caso de resultar adjudicatario, de adherirse a las Políticas de Seguridad de la Información que tiene adoptadas ETB para la protección de su información y la de sus terceros, las cuales se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista se obliga a cumplir con las políticas de seguridad de la información y de protección o tratamiento de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes de seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con todos los medios a su alcance para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas de seguridad de la información de ETB. Antes de la finalización del contrato, el Contratista deberá devolver los activos físicos y electrónicos encomendados, garantizando que la información pertinente se devuelva a ETB de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimiento.

SEGURIDAD DE LA INFORMACIÓN. Con La Compañía Adjudicataria se compromete a aplicar todos los resguardos necesarios para asegurar la presentación confidencialidad, integridad y disponibilidad de todos los activos de información de la oferta se entiende la aceptación del proponenteEntidad Crediticia, en caso de resultar adjudicatario, de adherirse a las Políticas de Seguridad que tenga acceso con motivo u ocasión de la Información presente licitación y/o contrato. Cuando los servicios entregados a la Entidad Crediticia requieran que tiene adoptadas ETB para la protección de su información y la de sus terceros, las cuales se obligan a conocer y cumplir, así como a instruir al personal que Compañía Aseguradora ocupe para la ejecución del contrato, independientemente instalaciones propias de la forma Entidad Crediticia o de vinculación del mismopersonas relacionadas y/o tenga acceso a documentación, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir equipamiento, redes y/o aplicaciones de la debida ejecución del contratoEntidad Crediticia, el contratista la Compañía Aseguradora se obliga a cumplir respetar las siguientes condiciones: a) La Compañía Aseguradora cumplirá con las políticas disposiciones de trabajo, medidas de seguridad y esquema de accesos lógicos y físicos aplicables por la Entidad Crediticia y cualquiera de sus personas relacionadas, según corresponda; b) La Compañía Aseguradora utilizará la documentación, equipamiento, redes, aplicaciones y/o cualquier otro activo de información para el único propósito de cumplir las obligaciones que le impone el contrato. En ningún caso, la Compañía Aseguradora podrá utilizar dichos recursos para desarrollar actividades para personas o entidades distintas a la Entidad Crediticia o sus personas relacionadas; c) La Compañía Aseguradora acuerda que sus empleados y terceros, por los que responde, no violarán o intentarán violar ninguno de los sistemas de seguridad de la información y Entidad Crediticia, u obtener, o intentar obtener acceso a ningún programa o datos más allá de protección o tratamiento lo necesario para desarrollar las actividades descritas en el contrato; d) La Compañía Aseguradora es responsable de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes de seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con utilizar todos los medios a su alcance disponibles para su remediación. Sin perjuicio evitar la introducción de cualquier tipo de software malicioso (virus, troyanos, gusanos, etc.) en el equipamiento la Entidad Crediticia, e informar en forma inmediata cualquier violación que detecte al respecto; e) La Compañía Aseguradora deberá mantener en forma separada o aislada de otros clientes todos los reportes activos de información que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad posea de la información. El Contratista debe impartir a Entidad Crediticia, sean estos físicos o magnéticos que permitan su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas de seguridad de la información de ETB. Antes de la finalización del contrato, el Contratista deberá devolver los activos físicos y electrónicos encomendados, garantizando que la información pertinente se devuelva a ETB de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimientoentrega inmediata.

SEGURIDAD DE LA INFORMACIÓN. Con Si EVO o el BANCO se percatan que alguna TRANSACCIÓN realizada por el AFILIADO no se apega a lo previsto en el CONTRATO, la presentación de la oferta se entiende la aceptación del proponente, en caso de resultar adjudicatario, de adherirse a las Políticas de Seguridad de la Información que tiene adoptadas ETB para la protección de su información y la de sus terceros, las cuales se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista se obliga a cumplir con las políticas de seguridad de la información y de protección o tratamiento de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes de seguridad de la información que puedan vulnerar la confidencialidad, integridad GUÍA DEL USUARIO y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con todos los medios a su alcance para su remediación. Sin perjuicio este Anexo e independientemente de los reportes rechazos o CONTRACARGOS que realice ante ETBcorrespondan, EVO y el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB BANCO se reserva el derecho de verificar y monitorearsuspender el Servicio CA: En cuyo caso este último no podrá realizar TRANSACCIÓN alguna a través del Portal CA, en cualquier momento o lugartanto EVO no se lo autorice y restablezca el Servicio CA. Ante un evento en el cual se vea comprometida la información sensible de los TARJETAHABIENTES, el cumplimiento AFILIADO será enteramente responsable y deberá asumir los riesgos económicos que dicho evento genere, incluyendo los cargos por aclaraciones y los daños y perjuicios provocados a los emisores, a los TARJETAHABIENTES, a EVO y al BANCO. Lo anterior en el entendido que el AFILIADO tendrá prohibido almacenar en cualquier medio información relativa a las operaciones de los TARJETAHABIENTES o de las políticas TARJETAS empleadas por estos últimos como medio de pago, salvo en los casos que expresamente le autoricen EVO o el BANCO y siempre y cuando el AFILIADO se sujete a las certificaciones, reglas y requisitos de seguridad que EVO y el BANCO determinen en función tanto de sus políticas internas como de las disposiciones legales y administrativas aplicables, de PCI DSS (estándar bajo los estándares nacionales e internacionales), las reglas emitidas al respecto por los titulares de marcas internacionales como VISA o MasterCard, entre otros, y los lineamientos de PCIDSS disponibles para consulta del AFILIADO en las PÁGINAS ELECTRÓNICAS de los propios titulares de marcas internacionales. En todo caso el AFILIADO deberá preservar la confidencialidad de la información a que se refieren los párrafos que anteceden en términos de ETB. Antes lo establecido en el CONTRATO, obligándose a resarcir a EVO, al BANCO y a los TARJETAHABIENTES de la finalización del contrato, el Contratista deberá devolver los activos físicos daños y electrónicos encomendados, garantizando perjuicios que la información pertinente se devuelva éstos lleguen a ETB de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y sufrir en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimientoevento de compromiso de información.

SEGURIDAD DE LA INFORMACIÓN. Osinergmin brindará los accesos a los sistemas informáticos que se requieran para el mejor desempeño del servicio, previa coordinación con el Gestor de Sistemas de la GFM o área competente. Las Obligaciones sobre Seguridad de Información se encuentran consignadas en Anexos Generales (C) publicados en el sitio destinado para el concurso en la página web del Osinergmin. Cabe indicar que tales obligaciones se consignarán en el contrato de supervisión que la Empresa Supervisora suscriba con Osinergmin. La Empresa Supervisora se compromete a respetar y aplicar en el servicio brindado, las políticas, procedimientos y controles de los sistemas de gestión, metodologías, estándares y otros establecidos por Osinergmin, los mismos que están publicados en la página web del Osinergmin, dirección xxxx://xxx.xxxxxxx.xxx.xx y que declara conocer y aceptar. Con la presentación previa evaluación y conformidad respectiva, Osinergmin autorizará todos los accesos a recursos o herramientas propias de la oferta institución y que son requeridos por la Empresa Supervisora para la prestación del presente servicio. Una vez finalizado el contrato, todos los accesos serán retirados. La Empresa Supervisora debe tomar medidas de protección de la información de Osinergmin que se entiende la aceptación del proponenteencuentre almacenada en los equipos y/o dispositivos que requieran mantenimiento fuera de las instalaciones de Osinergmin, en caso de resultar adjudicatario, de adherirse a para ello debe cumplir con las Políticas Específicas de Seguridad de la Información que tiene adoptadas ETB establecidas para la protección de su información y la de sus tercerostal fin. La Empresa Supervisora debe reportar incidentes, las cuales se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista se obliga a cumplir con las políticas eventos u otro riesgo potencial de seguridad de la información y para Osinergmin a fin de protección o tratamiento de datos personales de los clientes de ETBrealizar la investigación correspondiente. ETB podrá requerir La Empresa Supervisora se compromete, a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas brindar todas las facilidades necesarias para que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes de seguridad de la información que puedan vulnerar la confidencialidad, integridad Osinergmin audite y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con todos monitoree sobre los medios a su alcance para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas aspectos de seguridad de la información de ETBlos servicios e información materia del contrato y sobre los aspectos de almacenamiento de datos. Antes La Empresa Supervisora exime de toda responsabilidad a Osinergmin, sus empleados y funcionarios, por cualquier litigio, acción legal o procedimiento administrativo, reclamación o demanda que pudiera derivarse de cualquier trasgresión o supuesta trasgresión de cualquier patente, uso de modelo, diseño registrado, marca registrada, derechos de autor o cualquier otro derecho de propiedad intelectual que estuviese registrado o de alguna otra forma existente a la fecha del contrato debido a la instalación del bien por parte de la finalización del Empresa Supervisora o el uso de los mismos por parte de Osinergmin. La Empresa Supervisora garantiza a Osinergmin que durante el servicio que brindará, respetará todos los derechos de propiedad intelectual referidos en el Decreto Legislativo N° 822 — Ley sobre el Derecho de Autor, normas modificatorias y complementarias; por lo que se compromete a garantizar que todo el software y las herramientas utilizadas no vulneran ninguna normativa, contrato, derecho, interés, patentes, legalidad o propiedad de terceros referidos en el Contratista deberá devolver los activos físicos y electrónicos encomendados, garantizando que la información pertinente se devuelva a ETB de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y decreto en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimientomención.

SEGURIDAD DE LA INFORMACIÓN. Con La PARTE RECEPTORA deberá implementar, mantener y hacer cumplir las medidas de seguridad administrativas, técnicas y físicas apropiadas para gestionar la presentación seguridad de la oferta se entiende información de la aceptación del proponentePARTE REVELADORA, en consecuencia, deberá garantizar la Confidencialidad, Integridad y Disponibilidad de la misma. Estas garantías no podrán ser inferiores a las aceptadas por la industria, por lo que, cuando apliqué, deberían incluir los siguientes controles: Si durante la prestación de los servicios la PARTE RECEPTORA en ejercicio de sus funciones requiera acceso a los sistemas o plataformas de la PARTE REVELADORA, la PARTE RECEPTORA será la única responsable por el correcto uso y de las operaciones realizadas sobre los sistemas de información y plataformas de la PARTE REVELADORA. Sólo deben acceder a los sistemas de información, los funcionarios designados por la PARTE RECEPTORA bajo su única y exclusiva responsabilidad. Los perfiles de usuarios y accesos entregados por la PARTE REVELADORA mantendrán los mínimos privilegios y tienen el carácter de únicos e intransferibles, por lo que la PARTE RECEPTORA debe tener acuerdos de confidencialidad firmados con su personal y exigir el cumplimiento de estas condiciones y obligaciones. La PARTE RECEPTORA debe especificar los niveles de seguridad con los que se administra el software con el que se va a procesar la información de la PARTE REVELADORA, los niveles de seguridad de la plataforma y/o sistemas operativos donde corre dicho software. En el caso de resultar adjudicatarioque la PARTE RECEPTORA exponga su solución Web a través de Internet, deberá contar con un certificado digital HTTPS vigente emitido por una entidad certificadora autorizada y manejando como mínimo el protocolo TLS v 1,2. La PARTE RECEPTORA debe especificar una ficha técnica de adherirse los mecanismos de cifrado y/o compactación que se le vayan a las Políticas aplicar a los archivos que entrega la PARTE REVELADORA y que quedarán almacenados en los sistemas de Seguridad información. En el caso que la PARTE RECEPTORA para la prestación de su servicio tenga acuerdos con otros terceros, estos deben ser explicitado en la descripción del servicio. La PARTE RECEPTORA debe garantizar que sus terceros involucrados cumplen los requerimientos de seguridad, por medio de acuerdos de confidencialidad previos y realizando evaluaciones e inspecciones de seguridad a los servicios prestados por dichos terceros cuando aplique. Los sistemas de información configurados por la PARTE RECEPTORA deben poseer facilidades de auditoría, tal que les sea posible guardar los registros de acceso a la aplicación, consultas, cambios en los datos, generación de reportes y en general cualquier operación que realice el usuario. Los documentos impresos con información confidencial de la Información que tiene adoptadas ETB para PARTE REVELADORA en poder de la protección PARTE RECEPTORA deben ser procesados y almacenados en un lugar específico en donde haya acceso limitado únicamente al personal autorizado. La PARTE RECEPTORA debe realizar análisis periódicos de su vulnerabilidades a los sistemas de información y equipos que deben procesar la de sus terceros, las cuales se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente información de la forma PARTE REVELADORA. Adicionalmente garantizar que estas vulnerabilidades sean gestionadas y cerradas en el menor tiempo posible. La PARTE RECEPTORA informará a la PARTE REVELADORA cualquier incidente de vinculación del mismoseguridad (ejemplo, sobre intentos de acceso no autorizados, manejo inadecuado de datos, etc.) deberá realizar la obligatoriedad gestión y dejar registrados dichos incidentes. La PARTE REVELADORA podrá realizar inspecciones a la PARTE RECEPTORA con el fin de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista se obliga a cumplir con las políticas validar que los controles mínimos de seguridad de la información se estén aplicando de forma adecuada. La PARTE RECEPTORA debe proponer y desarrollar un plan de protección o tratamiento de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista pruebas para la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad aceptación de la información y reportar plataforma, que comprende las pruebas integrales a nivel de manera inmediata la ocurrencia conectividad de incidentes de seguridad de la información que puedan vulnerar la confidencialidadred, integridad y/o disponibilidad de la información de ETB o de sus tercerosalta disponibilidad, tratada en desarrollo del contratoseguridad, contribuyendoservicio, además, con todos los medios a su alcance para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas de seguridad de la información de ETB. Antes de la finalización del contrato, el Contratista deberá devolver los activos físicos y electrónicos encomendados, garantizando que la información pertinente se devuelva a ETB de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimientoetc.

SEGURIDAD DE LA INFORMACIÓN. Con El CONTRATISTA en cumplimiento del contrato en los eventos que aplique, deberá cumplir los siguientes deberes: • Adoptará las medidas de índole técnica y organizativas necesarias para garantizar la presentación confidencialidad, integridad y disponibilidad de la oferta información y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o de fenómenos físicos o naturales. A estos efectos el CONTRATISTA deberá aplicar los aspectos establecidos en la Norma ISO 27001:2013, de acuerdo con la naturaleza de los datos que trate. La información revelada será dirigida al CONTRATISTA y los contenidos serán sólo para el uso de quienes haya sido dirigida, y no deberá divulgarse a terceras personas. El CONTRATISTA se entiende hará responsable ante terceros a quienes se haya divulgado esta información sin previo consentimiento. • Asegurará que, como producto de este contrato, entregará a PROCOLOMBIA/FIDUCOLDEX una solución que garantice confidencialidad, integridad y disponibilidad de la aceptación del proponenteinformación relacionada con el objeto de este. • Tramitará de manera previa la autorización de PROCOLOMBIA/FIDUCOLDEX para cualquier conexión e interacción con la red de la fiduciaria y su información. • Aceptará el monitoreo de cualquier conexión e interacción con la red de PROCOLOMBIA y su información cuando FIDUCOLDEX/PROCOLOMBIA lo considere oportuno. • Garantizará que toda actualización y modificación a la infraestructura tecnológica de FIDUCOLDEX/PROCOLOMBIA será validada y aprobada en forma previa por la Gerencia de Informática y Tecnología de PROCOLOMBIA. • Garantizará que cualquier interrupción programada de la solución o servicio contratado con fines de actualización y mejoras debe ser administrada bajo un acuerdo de nivel de servicios previamente acordada con PROCOLOMBIA, principalmente con el fin de mantener informados a sus clientes y usuarios en los términos que establece la ley. • Utilizará los recursos tecnológicos que le entregue FIDUCOLDEX/PROCOLOMBIA, en caso forma exclusiva para el desarrollo de resultar adjudicatariola labor para la cual fue contratado. • Cumplirá con especial cuidado, el principio de adherirse buen uso y confidencialidad de los medios de acceso que ha entregado FIDUCOLDEX/PROCOLOMBIA para el desarrollo del objeto del contrato. • Asegurará que, al término del contrato, toda información, software, dispositivos y demás elementos tecnológicos de propiedad de PROCOLOMBIA/FIDUCOLDEX serán eliminados de los equipos del proveedor, atendiendo los acuerdos de confidencialidad. • Garantizará a PROCOLOMBIA/FIDUCOLDEX que el personal asignado por el CONTRATISTA para la atención del contrato conoce y cumple las Políticas políticas contenidas en este contrato y responde por cualquier inobservancia de estas. • Dará cumplimiento a lo estipulado en la política de Seguridad de la Información que tiene adoptadas ETB información para la protección las relaciones con proveedores, relacionado con: − Se autoriza a PROCOLOMBIA/FIDUCOLDEX a evaluar y auditar los controles de su información y la de sus tercerosseguridad implementados por el proveedor, las cuales en forma periódica o cuando se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas presenten cambios significativos en los controles o en la página web de ETB xxx.xxx.xxxrelación contractual entre ambas partes. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista − El CONTRATISTA se obliga a cumplir con las políticas de seguridad de la información y de protección o tratamiento de datos personales de los clientes de ETB. ETB podrá requerir informar a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente PROCOLOMBIA/FIDUCOLDEX sobre cualquier retiro o cambio que éste realice sobre el personal que accede violación a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información que afecte sus operaciones o sus negocios. − El CONTRATISTA comunicará a PROCOLOMBIA/FIDUCOLDEX los planes de tratamiento que contempla ante posibles violaciones de la seguridad y reportar los tiempos en que tendrán efecto esas acciones. − El CONTRATISTA informará a PROCOLOMBIA/FIDUCOLDEX, todos los cambios en su entorno que afecten el negocio o la operación de manera inmediata su cliente, en forma oportuna. − El CONTRATISTA comunicará a PROCOLOMBIA/FIDUCOLDEX los cambios o modificaciones programados de los servicios prestados, los cuales serán previamente autorizados por la ocurrencia Fiduciaria. Los cambios serán documentados por el CONTRATISTA. − El CONTRATISTA puede tener la necesidad de incidentes aplicar a otras organizaciones con las que suscriba acuerdos, las mismas políticas y condiciones que a él le ha impuesto FIDUCOLDEX/PROCOLOMBIA, en la medida en la que se conforme una cadena de suministro. − En caso de que los funcionarios del proveedor tengan acceso, procesen o almacenen, información de la Fiduciaria, se les brindará el programa de concientización y capacitación sobre seguridad de la información entidad. − Los recursos que puedan vulnerar la confidencialidadPROCOLOMBIA/FIDUCOLDEX pone a disposición del personal externo, integridad y/independientemente del tipo que sean (informáticos, datos (físicos o disponibilidad lógicos), software, redes, sistemas de la información de ETB o de sus terceroscomunicación, tratada en desarrollo del contratoetc.), contribuyendo, además, con todos los medios a su alcance están disponibles exclusivamente para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas obligaciones y propósito de seguridad la operativa para la que fueron contratados. − Si la información de propiedad de PROCOLOMBIA/FIDUCOLDEX es administrada por un tercero, se requiere contar con procedimientos y compromisos que garanticen un manejo seguro de la información durante la vigencia del contrato. − Si para fines de ETBsu labor el CONTRATISTA debe tener acceso a información sensible de PROCOLOMBIA/FIDUCOLDEX o administrada por éste, está se proporcionará con las medidas de seguridad necesarias, con el fin de que no pueda ser modificada o alterada por el CONTRATISTA. Antes de − No revelará a terceros la finalización información a la que tenga acceso durante la prestación del servicio − Al terminar el contrato, el Contratista CONTRATISTA deberá devolver los activos físicos y electrónicos encomendadosequipos, garantizando que software o la información pertinente entregada por PROCOLOMBIA/FIDUCOLDEX ya sea en formato electrónico o papel o en su defecto destruirla previa autorización de éste y conforme a las políticas de disposición final de documentos. − Los funcionarios del CONTRATISTA no podrán tener acceso a áreas o zonas seguras de FIDUCOLDEX. Sí fuera necesario su ingreso a determinadas áreas será necesario la autorización de un funcionario de la entidad el cual deberá acompañar al CONTRATISTA durante el tiempo que este permanezca en dicha área. El funcionario del CONTRATISTA dejará el registro de la visita en las bitácoras dispuestas para tal fin − Los funcionarios del CONTRATISTA se devuelva anunciarán en la recepción de FIDUCOLDEX a ETB su ingreso y salida, y registrarán los equipos necesarios para la realización de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y su labor en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimientola entidad.

SEGURIDAD DE LA INFORMACIÓN. Con la presentación Respecto del manejo, procesamiento, gestión, comunicación, control de la oferta calidad y seguridad de toda la información que le sea proporcionada o a la que tenga acceso el adjudicatario o sus agentes, con ocasión, a causa o para los efectos del cumplimiento de las funciones que por este contrato se entiende la aceptación del proponentele encomiendan, en caso deberá proceder con estricto apego u observancia de resultar adjudicatariolas disposiciones legales y reglamentarias que regulan, respecto de adherirse a las Políticas de Seguridad los órganos de la Información que tiene adoptadas ETB para la protección de su información y la de sus tercerosAdministración Pública, las cuales se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista se obliga a cumplir con las políticas de seguridad de la información y de protección o tratamiento de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de sus activos físicos y de información, el acceso público a la información, la calidad de ésta y la continuidad de los servicios. En razón de lo anterior y, para los efectos de observar los procedimientos debidos en estas materias, constituirá una obligación especial del proveedor y sus agentes la de informarse acerca de estas materias y proceder a este respecto, en todo caso, previa coordinación y de acuerdo a las instrucciones del Jefe de la División a cargo de las actividades para cuya ejecución presta servicios, respetando las normas técnicas internas, jurídicamente establecidas y vigentes, las que el adjudicatario declara en este acto conocer y aceptar, obligándose especialmente a no utilizar la información para un objeto distinto del permitido o requerido. Asimismo, en los casos en que atendida la naturaleza del asunto corresponda, estará especialmente obligado a actuar de oficio para velar por el cumplimiento de las normas y reportar medidas de manera inmediata la ocurrencia de incidentes de resguardo o seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con todos los medios a su alcance para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad calidad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas de seguridad de la información de ETB. Antes de la finalización del contrato, el Contratista deberá devolver los activos físicos y electrónicos encomendadosde la continuidad de los servicios establecidas en la institución, garantizando haciendo presente formalmente, cuando corresponda, las brechas o situaciones críticas que advierta. El prestador de servicios estará obligado a mantener la información pertinente se devuelva a ETB más estricta confidencialidad respecto de manera toda y cualquier información, procedimientos y documentación que no podrá usarse para ningún otro fin por parte del Contratista ni utilice durante la prestación de sus trabajadores servicios en la institución, cualquiera que sea el medio o sus propios contratistassoporte en el que ella se contenga y a la que hubiera tenido acceso con ocasión del cumplimiento del presente convenio. Adicionalmente El proveedor adjudicado se obligará - asimismo - a restituir al Gobierno Regional de Atacama, a lo menos con 48 horas de anticipación a la fecha de término de la vigencia de este convenio, a través del Jefe de División de Planificación y Desarrollo, o del funcionario a quien éste formalmente designe para tal efecto, todos los activos de información recibida de la institución o por cuenta de ésta, para los efectos de prestar los servicios y ejecutar el contrato para dicho efectos. Así mismo, restituirá los equipos y activos de información a su cargo, dejándose constancia de la entrega y recepción, en caso acta que suscribirá - conjuntamente - con los funcionarios designados para estos efectos. El efectivo incumplimiento de esta obligación, acreditado conforme a derecho, hará responsable al proveedor adjudicado de los perjuicios que el Contratista se causen - directa o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contratoindirectamente - al Gobierno Regional de Atacama, el Contratista se obliga a documentar y transferir a ETB ese conocimientopara todos los efectos que deriven de esta licitación.

SEGURIDAD DE LA INFORMACIÓN. Con la presentación Respecto del manejo, procesamiento, gestión, comunicación, control de la oferta calidad y seguridad de toda la información que le sea proporcionada o a la que tenga acceso el adjudicatario o sus agentes, con ocasión, a causa o para los efectos del cumplimiento de las funciones que por este contrato se entiende la aceptación del proponentele encomiendan, en caso deberá proceder con estricto apego u observancia de resultar adjudicatariolas disposiciones legales y reglamentarias que regulan , respecto de adherirse a las Políticas de Seguridad los órganos de la Información que tiene adoptadas ETB para la protección de su información y la de sus tercerosAdministración Pública, las cuales se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista se obliga a cumplir con las políticas de seguridad de la información y de protección o tratamiento de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de sus activos físicos y de información, el acceso público a la información, la calidad de ésta y la continuidad de los servicios. En razón de lo anterior y, para los efectos de observar los procedimientos debidos en estas materias, constituirá una obligación especial del proveedor y sus agentes la de informarse acerca de estas materias y proceder a este respecto, en todo caso, previa coordinación y de acuerdo a las instrucciones del Jefe de la División a cargo de las actividades para cuya ejecución presta servicios, respetando las normas técnicas internas, jurídicamente establecidas y vigentes, las que el adjudicatario declara en este acto conocer y aceptar, obligándose especialmente a no utilizar la información para un objeto distinto del permitido o requerido. Asimismo, en los casos en que atendida la naturaleza del asunto corresponda, estará especialmente obligado a actuar de oficio para velar por el cumplimiento de las normas y reportar medidas de manera inmediata la ocurrencia de incidentes de resguardo o seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con todos los medios a su alcance para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad calidad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas de seguridad de la información de ETB. Antes de la finalización del contrato, el Contratista deberá devolver los activos físicos y electrónicos encomendadosde la continuidad de los servicios establecidas en la institución, garantizando haciendo presente formalmente, cuando corresponda, las brechas o situaciones críticas que advierta. El prestador de servicios estará obligado a mantener la información pertinente se devuelva a ETB más estricta confidencialidad respecto de manera toda y cualquier información, procedimientos y documentación que no podrá usarse para ningún otro fin por parte del Contratista ni utilice durante la prestación de sus trabajadores servicios en la institución, cualquiera que sea el medio o soporte en el que ella se contenga y a la que hubiera tenido acceso con ocasión del cumplimiento del presente convenio. El proveedor adjudicado se obligará - asimismo - a restituir al Gobierno Regional de Atacama, a lo menos con 48 horas de anticipación a la fecha de término de la vigencia de este convenio, a través del Jefe de División de Planificación y Desarrollo, o del funcionario a quien éste formalmente designe para tal efecto, todos los activos de información recibida de la institución o por cuenta de ésta, para los efectos de prestar los servicios y ejecutar el contrato para dicho efectos. Así mismo, restituirá los equipos y activos de información a su cargo, dejándose constancia de la entrega y recepción , en acta que suscribirá - conjuntamente- con los funcionarios designados para estos efectos. El efectivo incumplimiento de esta obligación, acreditado conforme a derecho, hará responsable al proveedor adjudicado de los perjuicios que se causen - directa o indirectamente - al Gobierno Regional de Atacama, para todos los efectos que deriven de esta licitación. Lo anterior, sin perjuicio del derecho de la institución , o sus propios contratistasagentes, de ejercer, si lo estiman necesario, las acciones civiles o penales que - en sede administrativa y/o jurisdiccional - correspondan, conforme a derecho. Adicionalmente Los deberes de resguardo y prevención establecidos en caso estas cláusulas se mantendrán vigentes, respecto del proveedor, incluso después de que concluido el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del presente contrato, el Contratista se obliga de conformidad a documentar y transferir a ETB ese conocimientolas disposiciones jurídicas vigentes sobre la materia.

SEGURIDAD DE LA INFORMACIÓN. Con la presentación de la oferta se entiende la aceptación del proponente, en caso de resultar adjudicatario, de adherirse a las Políticas de Seguridad de la Información que tiene adoptadas ETB para la protección de su información y la de sus terceros, las cuales se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista se obliga a cumplir con las políticas Las medidas de seguridad de la información y implantadas en el ámbito del cesionario deberán ser conformes a las establecidas en el Esquema Nacional de protección o tratamiento Seguridad, cuyo ámbito de datos personales de los clientes de ETB. ETB podrá requerir aplicación se extiende a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETBlas relaciones entre las Administraciones Publicas. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes de seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, cesionario contará con todos los medios a su alcance para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos una política de seguridad de la información, según sea relevante un análisis y gestión de riesgos y una asignación explícita de responsabilidades en materia de seguridad adecuadas para ejecutar el contratosu misión, objetivos y tamaño. ETB se reserva el derecho El cesionario deberá aplicar dichos mecanismos de verificar y monitorear, en cualquier momento o lugarseguridad a la información suministrada por la Agencia Tributaria. En particular, el cumplimiento cesionario deberá impedir el acceso a la información suministrada por parte de personal no autorizado, establecer la trazabilidad de los accesos a la información suministrada, y desarrollar auditorías del acceso a los datos con criterios aleatorios y de riesgo. Asimismo, el cesionario se abstendrá de cursar la petición cuando conozca algún conflicto de intereses entre el funcionario solicitante y el contribuyente cuya información se recaba. El cesionario deberá informar adecuadamente a los empleados públicos que vayan a tener acceso a la información suministrada por la Agencia Tributaria de la finalidad de la misma, de las políticas condiciones en las que el empleado debe abstenerse de seguridad realizar peticiones a los servicios de la información Agencia Tributaria, del registro de ETB. Antes cada acceso que se realiza y de la finalización del contratoposibilidad de auditoría posterior sobre los accesos realizados, donde deberá justificar adecuadamente los accesos realizados y que sean objeto de auditoría. En el Contratista deberá devolver los activos físicos y electrónicos encomendados, garantizando que la información pertinente se devuelva a ETB de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y en caso de que el Contratista cesionario utilice infraestructuras de terceros en los términos previstos en la Resolución de 28 xx xxxxx de 2012, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica de Interoperabilidad de Protocolos de intermediación de datos, para realizar sólo los tratamientos necesarios para la gestión del intercambio de los datos cedidos por la Agencia Tributaria, se responsabiliza de cumplir con las condiciones establecidas por el Reglamento (UE) 2016/679 General de Protección de Datos. En particular garantiza que: • Ha elegido a un encargado del tratamiento y formalizado un contrato o sus trabajadores un acto jurídico con dicho encargado del tratamiento de conformidad con los requisitos y con el contenido mínimo exigidos en el artículo 28 del Reglamento General de Protección de Datos. • Ha determinado, en dicho contrato o sus propios contratistas hayan adquirido un conocimiento importante acto jurídico, las medidas concretas que debe implantar el encargado de tratamiento que garanticen la seguridad de los datos de conformidad con el artículo 32 del Reglamento General de Protección de Datos que, en el caso de las Administraciones Públicas, requiere el cumplimiento del Esquema Nacional de Seguridad. • Se responsabiliza ante la Agencia Tributaria del uso que se realice de los datos suministrados respecto a partir del desarrollo del contrato, el Contratista las peticiones que se obliga a documentar y transferir a ETB ese conocimientohagan en su nombre.

SEGURIDAD DE LA INFORMACIÓN. Con la presentación Teniendo en 1. EL VENDEDOR será responsable de establecer y mantener un programa de seguridad de la oferta información, incluyendo seguridad de elementos físicos, digitales, virtuales, ciberespacio independiente de su tránsito y/o ubicación del cual deberá entregar una certificación anual o semestral de acuerdo a la vigencia del contrato, realizado por un auditor externo independiente de una empresa que cuente con experiencia certificada que lo acrediten como experto auditor en temas de seguridad de la información, el cual debe estar diseñado para: a) Garantizar la protección y confidencialidad de toda la información a la que se entiende tenga acceso con ocasión del presente contrato y de acuerdo a su nivel de sensibilidad. b) Proteger de manera anticipada contra amenazas y/o riesgos que puedan llegar a afectar la aceptación información a la que se tenga acceso con ocasión del proponentepresente contrato, c) Proteger contra el acceso o uso no autorizados de la Información Confidencial o clasificada como datos personales según la ley 1581 de 2012 o norma que la reemplace, modifique o complemente d) Garantizar que toda la información sea tratada conforme a los estándares de seguridad aplicables. EL VENDEDOR deberá desarrollar procedimientos para gestionar cualquier incidente de acceso no autorizado y/o violación que amenace la seguridad de la Información Confidencial del Banco y/o datos personales según la ley 1581 de 2012 o norma que la reemplace, modifique o complemente y lo notificará a través del supervisor de manera inmediata y oportuna al conocimiento del mismo. e) EL VENDEDOR podrá modificar sus procedimientos de seguridad de la información incluyendo seguridad física, en caso de resultar adjudicatariocualquier momento durante la vigencia del contrato, de adherirse conformidad con las normas aplicables y buenas prácticas de seguridad de la información, previa notificación y aprobación por parte del Banco Davivienda. Aprobación que en el evento de otorgarse, se expedirá 30 días después de la notificación de dicho cambio. 2. Contar con dispositivos y herramientas de seguridad idóneos que protejan sus redes e infraestructura tecnológica. 3. Establecer controles, herramientas y/o mecanismos para el borrado seguro y destrucción de la información conforme a las Políticas mejores prácticas de la industria y procedimientos y mecanismos para la devolución y entrega al Banco Davivienda de toda la información a la que tuvo acceso durante la vigencia del contrato. 4. Para los contratos que contemplen prestación de servicios en actividades de informática y/o desarrollos por ejemplo: Desarrollo de software, implementación y administración de Bases de Datos, Infraestructura TI, equipos de enlaces de comunicación, servicios prestados en nube, entre otros, además de lo anterior, se exige a EL VENDEDOR, confidencialidad, cumplimiento de los estándares y requisitos de Seguridad de la Información del Banco Davivienda, y principalmente debe realizar las actividades de las cuales deberá dejar evidencia física y entregarla en caso que tiene adoptadas ETB el Banco Davivienda lo requiera: a) Una capacitación por lo menos una vez al año para los funcionarios que ejecuten de manera directa o indirecta el desarrollo del contrato, en temas relacionados con seguridad de la protección de su información y seguridad física. b) Ejecutar pruebas de vulnerabilidad por un tercero especializado que generen un diagnóstico del nivel de seguridad existente en todos los componentes comprometidos en la prestación del servicio contratado con una periodicidad mínima de sus tercerosdos (2) veces por año, con una diferencia de al menos seis meses entre cada prueba durante la vigencia del contrato; para los sitios web transaccionales con una periodicidad mínima de cuatro (4) veces por año, con una diferencia de al menos tres (3) meses entre cada prueba durante la vigencia del contrato; y cuando se realicen cambios en la infraestructura tecnológica que soporta el servicio contratado. EL VENDEDOR debe informar los resultados de las cuales diferentes pruebas de vulnerabilidad, la gestión de remediación de las identificadas y entregar la evidencia al Banco Davivienda cada vez que sean ejecutadas de acuerdo a los términos establecidos en esta cláusula. c) Implementar y documentar procedimientos a seguir cuando se obligan encuentra evidencia de alteración o manipulación indebida de equipos o información. Esto implica tener implementado un proceso de gestión y respuesta a conocer incidentes que permita identificar y cumplirdocumentar entre otros ítems, causa raíz del incidente, los efectos e impactos causados, los detalles sobre el plan de respuesta y cierre, así como a instruir al personal mantener las evidencias digitales, custodia y disponibilidad de las mismas. 5. Para los contratos que ocupe para la ejecución del contrato, independientemente dentro de la forma de vinculación del mismo, sobre la obligatoriedad prestación de su cumplimientoservicio reciba, almacenen, procesen, entreguen o trasmitan datos de titulares de tarjetas y/o datos confidenciales de autenticación, de acuerdo al estándar PCI DSS (Payment Card Industry Data Security Standard), además de lo anterior, se exige a EL VENDEDOR a) La certificación de los requisitos de la regulación PCI DSS (Payment Card Industry Data Security Standard) que apliquen. Dichas políticas deben ser consultadas b) Con una periodicidad mínima anual, envío de evidencia del cumplimiento o certificación de dichos requisitos expedida por un QSA (Qualified Security Assessor) al Banco Davivienda. 6. Para los contratos que incluyan cualquier tipo de servicio con información alojada en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contratonube, el contratista EL VENDEDOR se obliga a cumplir con las políticas de seguridad establecidas por el Banco Davivienda para este fin, las cuales son anexo que hace parte integral del contrato. 7. Para los contratos que dentro de la información prestación de su servicio reciban, almacenen, procesen, entreguen o trasmitan datos personales conforme a lo estipulado en la Ley 1581 de 2012 y de protección demás decretos reglamentarios, o tratamiento norma que la reemplace, modifique o complemente EL VENDEDOR declara conocer, aceptar y cumplir la regulación en materia de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista y mantener durante la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes vigencia del contrato las medidas de seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con todos los medios a su alcance para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder y protección requeridas por los eventuales perjuicios que se generen con ocasión entes de los incidentes que puedan afectar control respectivos y la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas de seguridad de la información de ETB. Antes de la finalización del contrato, el Contratista deberá devolver los activos físicos y electrónicos encomendados, garantizando que la información pertinente se devuelva a ETB de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimientonormatividad legal vigente aplicable.

SEGURIDAD DE LA INFORMACIÓN. Con la presentación de la oferta se entiende la aceptación del proponente, en caso de resultar adjudicatario, de adherirse a las Políticas de Seguridad de la Información que tiene adoptadas ETB para la protección de su información y la de sus terceros, las cuales se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista se obliga a cumplir con las políticas de seguridad de la información y de protección o tratamiento de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB14.1. El Contratista se obliga a reportar cualquier debilidad sospechosa Proveedor manifiesta expresamente que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes de seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con todos los medios a su alcance para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de conoce las políticas de seguridad de la información de ETB. Antes Experian, regulaciones de protección de datos y habeas data en Venezuela, las del sistema financiero venezolano, y en especial aquellas relacionadas con la reserva legal, protección y custodia de la finalización del contratoinformación. Así mismo, el Contratista deberá devolver Proveedor establecerá políticas, estándares, procedimientos y controles de seguridad de la información, que incluye seguridad lógica, física y del recurso humano, con el fin de proteger contra cualquier riesgo la información de propiedad de Experian o de los activos físicos y electrónicos encomendadosclientes de Experian, garantizando evitando que la misma llegue a manos de terceros pudiendo propiciar situaciones de fraude, sustracción o alteración de la información. 14.2. Para el efecto, el Proveedor cumplirá con los términos de la política de seguridad de Experian, sin perjuicio de la cual Experian podrá exigirle a El Proveedor, a su criterio, el cumplimiento de un plan de ajuste conducente al cumplimiento de dicha política, y el Proveedor se compromete a hacer todos los cambios que sean necesarios para cumplir con los eventuales requerimientos que se hagan con este propósito. En todo caso, el Proveedor se compromete a usar estándares de cifrado fuerte, en los términos de tales estándares, para el envío y recepción de información pertinente electrónica con Experian, la cual reconoce como confidencial y restringida. 14.3. El Proveedor se devuelva compromete a ETB informar oportunamente a Experian los incidentes de manera seguridad o de operación que no podrá usarse para ningún otro fin por parte del Contratista ni se presenten con sus recursos tecnológicos o en sus instalaciones y que, como consecuencia, puedan comprometer la confidencialidad, integridad o disponibilidad de sus trabajadores la información o sus propios contratistasalterar la ejecución de la interacción. 14.4. Adicionalmente y En el evento en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante Proveedor tenga acceso a partir del desarrollo del contratolos sistemas de información de Experian, el Contratista Proveedor se obliga a documentar no utilizar los mismos para propósitos diferentes al desarrollo del objeto de la correspondiente Orden de Compra. En ningún evento, el Proveedor podrá utilizar los sistemas de información de Experian para desarrollar o procesar información para una persona o entidad diferente a Experian. Las Partes acuerdan que el Proveedor no violará o intentará violar los sistemas de seguridad la información, ni intentará acceder a cualquier información o programa, diferente al que se le hubiese concedido acceso previo por escrito. En el evento en que el Proveedor accidentalmente obtenga acceso a este tipo de información, dará aviso inmediato a Experian y transferir por ningún motivo copiará o utilizará en cualquier forma dicha información. El Proveedor indemnizará a ETB ese conocimientoExperian por cualquier pérdida, daño y/o costo imputable resultante del acceso indebido a los sistemas de información de Experian. 14.5. Se reconoce que las indemnizaciones monetarias pueden no ser suficientes para remediar cualquier incumplimiento de la presente sección, y que Experian se encuentra autorizada para pretender el cumplimiento, la expedición de órdenes judiciales o cualquier otra forma de indemnización como remedio para tal incumplimiento. Por lo tanto, el remedio económico no se considerará como la única forma de remedio de los incumplimientos de la presente sección, pero se entenderá que adiciona cualquier otra forma de remedio que tenga disponible Experian de acuerdo con la ley o la equidad

SEGURIDAD DE LA INFORMACIÓN. Con la presentación de la oferta se entiende la aceptación del proponente, en caso de resultar adjudicatario, de adherirse a las Políticas de Seguridad de la Información que tiene adoptadas ETB para la protección de su información y la de sus terceros, las cuales se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista se obliga a cumplir con las políticas de seguridad de la información y de protección o tratamiento de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB14.1. El Contratista se obliga a reportar cualquier debilidad sospechosa Proveedor manifiesta expresamente que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes de seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con todos los medios a su alcance para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de conoce las políticas de seguridad de la información de ETB. Antes Experian, regulaciones de protección de datos y habeas data en Perú, las del sistema financiero peruano, y en especial aquellas relacionadas con la reserva legal, protección y custodia de la finalización del contratoinformación. Así mismo, el Contratista deberá devolver Proveedor establecerá políticas, estándares, procedimientos y controles de seguridad de la información, que incluye seguridad lógica, física y del recurso humano, con el fin de proteger contra cualquier riesgo la información de propiedad de Experian o de los activos físicos y electrónicos encomendadosclientes de Experian, garantizando evitando que la misma llegue a manos de terceros pudiendo propiciar situaciones de fraude, sustracción o alteración de la información. 14.2. Para el efecto, el Proveedor cumplirá con los términos de la política de seguridad de Experian, sin perjuicio de la cual Experian podrá exigirle a El Proveedor, a su criterio, el cumplimiento de un plan de ajuste conducente al cumplimiento de dicha política, y el Proveedor se compromete a hacer todos los cambios que sean necesarios para cumplir con los eventuales requerimientos que se hagan con este propósito. En todo caso, el Proveedor se compromete a usar estándares de cifrado fuerte, en los términos de tales estándares, para el envío y recepción de información pertinente electrónica con Experian, la cual reconoce como confidencial y restringida. 14.3. El Proveedor se devuelva compromete a ETB informar oportunamente a Experian los incidentes de manera seguridad o de operación que no podrá usarse para ningún otro fin por parte del Contratista ni se presenten con sus recursos tecnológicos o en sus instalaciones y que, como consecuencia, puedan comprometer la confidencialidad, integridad o disponibilidad de sus trabajadores la información o sus propios contratistasalterar la ejecución de la interacción. 14.4. Adicionalmente y En el evento en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante Proveedor tenga acceso a partir del desarrollo del contratolos sistemas de información de Experian, el Contratista Proveedor se obliga a documentar no utilizar los mismos para propósitos diferentes al desarrollo del objeto de la correspondiente Orden de Compra. En ningún evento, el Proveedor podrá utilizar los sistemas de información de Experian para desarrollar o procesar información para una persona o entidad diferente a Experian. Las Partes acuerdan que el Proveedor no violará o intentará violar los sistemas de seguridad la información, ni intentará acceder a cualquier información o programa, diferente al que se le hubiese concedido acceso previo por escrito. En el evento en que el Proveedor accidentalmente obtenga acceso a este tipo de información, dará aviso inmediato a Experian y transferir por ningún motivo copiará o utilizará en cualquier forma dicha información. El Proveedor indemnizará a ETB ese conocimientoExperian por cualquier pérdida, daño y/o costo imputable resultante del acceso indebido a los sistemas de información de Experian. 14.5. Se reconoce que las indemnizaciones monetarias pueden no ser suficientes para remediar cualquier incumplimiento de la presente sección, y que Experian se encuentra autorizada para pretender el cumplimiento, la expedición de órdenes judiciales o cualquier otra forma de indemnización como remedio para tal incumplimiento. Por lo tanto, el remedio económico no se considerará como la única forma de remedio de los incumplimientos de la presente sección, pero se entenderá que adiciona cualquier otra forma de remedio que tenga disponible Experian de acuerdo con la ley o la equidad. 14.6. Todos los empleados del Proveedor, subcontratistas, agentes y otro personal que trabaje en el sitio en una instalación de Experian durante más de un (1) día hábil o que tengan acceso a una red de Experian, deben antes de prestar los Servicios cumplir con el alcance y los criterios de las evaluaciones requeridas deben ser consistentes con los Criterios de Evaluación de Antecedentes que se adjuntan como Anexo A, sin costo alguno adicional para Experian y acorde con las directrices de la Ley local. Las copias de los registros de selección deben conservarse en la oficina del Proveedor por un período de tres (3) años. Dichos registros de selección pueden ser auditados por Experian. 14.7. Requisitos de seguridad. El Proveedor reconoce que, a la hora de decidir si se realiza un Contrato con un proveedor, y/o si se renueva o amplía dicho Contrato, Experian tendrá en cuenta los principios y requisitos de su documento "Requisitos de Seguridad de Terceros" el cual se vincula a este Acuerdo para conocimiento del Proveedor. El Proveedor manifiesta que cumplirá con los Requisitos de Seguridad.

SEGURIDAD DE LA INFORMACIÓN. Con El CONTRATISTA en cumplimiento del contrato deberá cumplir los siguientes deberes: Adoptará las medidas de índole técnica y organizativas necesarias para garantizar la presentación confidencialidad, integridad y disponibilidad de la oferta información y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o de fenómenos físicos o naturales. A estos efectos el CONTRATISTA deberá aplicar los aspectos establecidos en la Norma ISO 27001:2013, de acuerdo con la naturaleza de los datos que trate. La información revelada será dirigida al CONTRATISTA y los contenidos serán sólo para el uso de quienes haya sido dirigida, y no deberá divulgarse a terceras personas. El CONTRATISTA se entiende hará responsable ante terceros a quienes se haya divulgado esta información sin previo consentimiento. Asegurará que, como producto de este contrato, entregará a la aceptación del proponenteFiduciaria una solución que garantice confidencialidad, integridad y disponibilidad de la información relacionada con el objeto de este. Garantizará que toda actualización y modificación a la infraestructura tecnológica de la fiduciaria será validada y aprobada en forma previa por la Gerencia de Informática y Tecnología de PROCOLOMBIA. Garantizará que cualquier interrupción programada de la solución o servicio contratado con fines de actualización y mejoras debe ser administrada bajo un acuerdo de nivel de servicios previamente acordada con PROCOLOMBIA, principalmente con el fin de mantener informados a sus clientes y usuarios en los términos que establece la ley. Utilizará los recursos tecnológicos que le entregue PROCOLOMBIA, en caso forma exclusiva para el desarrollo de resultar adjudicatariola labor para la cual fue contratado. Cumplirá con especial cuidado, el principio de adherirse buen uso y confidencialidad de los medios de acceso que ha entregado PROCOLOMBIA para el desarrollo del objeto del contrato. Garantizará a PROCOLOMBIA que el personal asignado por el CONTRATISTA para la atención del contrato conoce y cumple las Políticas políticas contenidas en este contrato y responde por cualquier inobservancia de estas. Dará cumplimiento a lo estipulado en la política de Seguridad de la Información que tiene adoptadas ETB información para la protección las relaciones con proveedores, relacionado con: Se autoriza a PROCOLOMBIA a evaluar y auditar los controles de su información y la de sus tercerosseguridad implementados por el proveedor, las cuales en forma periódica o cuando se obligan a conocer y cumplir, así como a instruir al personal que ocupe para la ejecución del contrato, independientemente de la forma de vinculación del mismo, sobre la obligatoriedad de su cumplimiento. Dichas políticas deben ser consultadas presenten cambios significativos en los controles o en la página web de ETB xxx.xxx.xxxrelación contractual entre ambas partes. Así mismo y cuando aplique a partir de la debida ejecución del contrato, el contratista El CONTRATISTA se obliga a cumplir con las políticas de seguridad de la información y de protección o tratamiento de datos personales de los clientes de ETB. ETB podrá requerir informar a discreción al contratista la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente PROCOLOMBIA sobre cualquier retiro o cambio que éste realice sobre el personal que accede violación a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información que afecte sus operaciones o sus negocios. El CONTRATISTA comunicará a PROCOLOMBIA los planes de tratamiento que contempla ante posibles violaciones de la seguridad y reportar los tiempos en que tendrán efecto esas acciones. El CONTRATISTA informará a PROCOLOMBIA, todos los cambios en su entorno que afecten el negocio o la operación de manera inmediata su cliente, en forma oportuna. El CONTRATISTA comunicará a PROCOLOMBIA los cambios o modificaciones programados de los servicios prestados, los cuales serán previamente autorizados por la ocurrencia Fiduciaria. Los cambios serán documentados por el CONTRATISTA. El CONTRATISTA puede tener la necesidad de incidentes aplicar a otras organizaciones con las que suscriba acuerdos, las mismas políticas y condiciones que a él le ha impuesto PROCOLOMBIA, en la medida en la que se conforme una cadena de suministro. En caso de que los funcionarios del proveedor tengan acceso, procesen o almacenen, información de la Fiduciaria, se les brindará el programa de concientización y capacitación sobre seguridad de la información entidad. Los recursos que puedan vulnerar la confidencialidadPROCOLOMBIA pone a disposición del personal externo, integridad y/independientemente del tipo que sean (informáticos, datos (físicos o disponibilidad lógicos), software, redes, sistemas de la información de ETB o de sus terceroscomunicación, tratada en desarrollo del contratoetc.), contribuyendo, además, con todos los medios a su alcance están disponibles exclusivamente para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder por los eventuales perjuicios que se generen con ocasión de los incidentes que puedan afectar la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas obligaciones y propósito de seguridad la operativa para la que fueron contratados. Si la información de propiedad de PROCOLOMBIA es administrada por un tercero, se requiere contar con procedimientos y compromisos que garanticen un manejo seguro de la información durante la vigencia del contrato. Si para fines de ETBsu labor el CONTRATISTA debe tener acceso a información sensible de PROCOLOMBIA o administrada por éste, está se proporcionará con las medidas de seguridad necesarias, con el fin de que no pueda ser modificada o alterada por el CONTRATISTA. Antes de No revelará a terceros la finalización información a la que tenga acceso durante la prestación del servicio Al terminar el contrato, el Contratista CONTRATISTA deberá devolver los activos físicos y electrónicos encomendadosequipos, garantizando que software o la información pertinente entregada por PROCOLOMBIA ya sea en formato electrónico o papel o en su defecto destruirla previa autorización de éste y conforme a las políticas de disposición final de documentos. Los funcionarios del CONTRATISTA no podrán tener acceso a áreas o zonas seguras de PROCOLOMBIA. Sí fuera necesario su ingreso a determinadas áreas será necesario la autorización de un funcionario de la entidad el cual deberá acompañar al CONTRATISTA durante el tiempo que este permanezca en dicha área. El funcionario del CONTRATISTA dejará el registro de la visita en las bitácoras dispuestas para tal fin. Los funcionarios del CONTRATISTA se devuelva anunciarán en la recepción de PROCOLOMBIA a ETB su ingreso y salida, y registrarán los equipos necesarios para la realización de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y su labor en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimientola entidad.

SEGURIDAD DE LA INFORMACIÓN. Con la presentación Teniendo en 1. EL VENDEDOR será responsable de establecer y mantener un programa de seguridad de la oferta información, incluyendo seguridad de elementos físicos, digitales, virtuales, ciberespacio independiente de su tránsito y/o ubicación del cual deberá entregar una certificación anual o semestral de acuerdo a la vigencia del contrato, realizado por un auditor externo independiente de una empresa que cuente con experiencia certificada que lo acrediten como experto auditor en temas de seguridad de la información, el cual debe estar diseñado para: a) Garantizar la protección y confidencialidad de toda la información a la que se entiende tenga acceso con ocasión del presente contrato y de acuerdo a su nivel de sensibilidad. b) Proteger de manera anticipada contra amenazas y/o riesgos que puedan llegar a afectar la aceptación información a la que se tenga acceso con ocasión del proponentepresente contrato, c) Proteger contra el acceso o uso no autorizados de la Información Confidencial o clasificada como datos personales según la legislación vigente o norma que la reemplace, modifique o complemente d) Garantizar que toda la información sea tratada conforme a los estándares de seguridad aplicables. EL VENDEDOR deberá desarrollar procedimientos para gestionar cualquier incidente de acceso no autorizado y/o violación que amenace la seguridad de la Información Confidencial del Banco y/o datos personales según la legislación vigente o norma que la reemplace, modifique o complemente y lo notificará a través del supervisor de manera inmediata y oportuna al conocimiento del mismo. e) EL VENDEDOR podrá modificar sus procedimientos de seguridad de la información incluyendo seguridad física, en caso de resultar adjudicatariocualquier momento durante la vigencia del contrato, de adherirse conformidad con las normas aplicables y buenas prácticas de seguridad de la información, previa notificación y aprobación por parte del Banco Davivienda. Aprobación que en el evento de otorgarse, se expedirá 30 días después de la notificación de dicho cambio. 2. Contar con dispositivos y herramientas de seguridad idóneos que protejan sus redes e infraestructura tecnológica. 3. Establecer controles, herramientas y/o mecanismos para el borrado seguro y destrucción de la información conforme a las Políticas mejores prácticas de la industria y procedimientos y mecanismos para la devolución y entrega al Banco Davivienda de toda la información a la que tuvo acceso durante la vigencia del contrato. 4. Para los contratos que contemplen prestación de servicios en actividades de informática y/o desarrollos por ejemplo: Desarrollo de software, implementación y administración de Bases de Datos, Infraestructura TI, equipos de enlaces de comunicación, servicios prestados en nube, entre otros, además de lo anterior, se exige a EL VENDEDOR, confidencialidad, cumplimiento de los estándares y requisitos de Seguridad de la Información del Banco Davivienda, y principalmente debe realizar las actividades de las cuales deberá dejar evidencia física y entregarla en caso que tiene adoptadas ETB el Banco Davivienda lo requiera: a) Una capacitación por lo menos una vez al año para los funcionarios que ejecuten de manera directa o indirecta el desarrollo del contrato, en temas relacionados con seguridad de la protección de su información y seguridad física. b) Ejecutar pruebas de vulnerabilidad por un tercero especializado que generen un diagnóstico del nivel de seguridad existente en todos los componentes comprometidos en la prestación del servicio contratado con una periodicidad mínima de sus tercerosdos (2) veces por año, con una diferencia de al menos seis meses entre cada prueba durante la vigencia del contrato; para los sitios web transaccionales con una periodicidad mínima de cuatro (4) veces por año, con una diferencia de al menos tres (3) meses entre cada prueba durante la vigencia del contrato; y cuando se realicen cambios en la infraestructura tecnológica que soporta el servicio contratado. EL VENDEDOR debe informar los resultados de las cuales diferentes pruebas de vulnerabilidad, la gestión de remediación de las identificadas y entregar la evidencia al Banco Davivienda cada vez que sean ejecutadas de acuerdo a los términos establecidos en esta cláusula. c) Implementar y documentar procedimientos a seguir cuando se obligan encuentra evidencia de alteración o manipulación indebida de equipos o información. Esto implica tener implementado un proceso de gestión y respuesta a conocer incidentes que permita identificar y cumplirdocumentar entre otros ítems, causa raíz del incidente, los efectos e impactos causados, los detalles sobre el plan de respuesta y cierre, así como a instruir al personal mantener las evidencias digitales, custodia y disponibilidad de las mismas. 5. Para los contratos que ocupe para la ejecución del contrato, independientemente dentro de la forma de vinculación del mismo, sobre la obligatoriedad prestación de su cumplimientoservicio reciba, almacenen, procesen, entreguen o trasmitan datos de titulares de tarjetas y/o datos confidenciales de autenticación, de acuerdo al estándar PCI DSS (Payment Card Industry Data Security Standard), además de lo anterior, se exige a EL VENDEDOR a) La certificación de los requisitos de la regulación PCI DSS (Payment Card Industry Data Security Standard) que apliquen. Dichas políticas deben ser consultadas b) Con una periodicidad mínima anual, envío de evidencia del cumplimiento o certificación de dichos requisitos expedida por un QSA (Qualified Security Assessor) al Banco Davivienda. 6. Para los contratos que incluyan cualquier tipo de servicio con información alojada en la página web de ETB xxx.xxx.xxx. Así mismo y cuando aplique a partir de la debida ejecución del contratonube, el contratista EL VENDEDOR se obliga a cumplir con las políticas de seguridad establecidas por el Banco Davivienda para este fin, las cuales son anexo que hace parte integral del contrato. 7. Para los contratos que dentro de la información prestación de su servicio reciban, almacenen, procesen, entreguen o trasmitan datos personales conforme a lo estipulado en la legislación vigente y de protección demás decretos reglamentarios, o tratamiento norma que la reemplace, modifique o complemente EL VENDEDOR declara conocer, aceptar y cumplir la regulación en materia de datos personales de los clientes de ETB. ETB podrá requerir a discreción al contratista y mantener durante la firma de acuerdos de confidencialidad específicos a su personal y demás personas que éste autorice. Los usuarios entregados al Contratista para acceder a los sistemas de información de ETB deben corresponder a personas que efectivamente estén ejecutando actividades relacionadas con el objeto contractual, en tal sentido, el Contratista se obliga a mantener informado a ETB sobre los usuarios a su cargo que deben estar vigentes, informando inmediatamente sobre cualquier retiro o cambio que éste realice sobre el personal que accede a los sistemas de información de ETB. El Contratista se obliga a reportar cualquier debilidad sospechosa que incida en la seguridad de la información y reportar de manera inmediata la ocurrencia de incidentes vigencia del contrato las medidas de seguridad de la información que puedan vulnerar la confidencialidad, integridad y/o disponibilidad de la información de ETB o de sus terceros, tratada en desarrollo del contrato, contribuyendo, además, con todos los medios a su alcance para su remediación. Sin perjuicio de los reportes que realice ante ETB, el contratista deberá responder y protección requeridas por los eventuales perjuicios que se generen con ocasión entes de los incidentes que puedan afectar control respectivos y la seguridad de la información. El Contratista debe impartir a su personal, con relación a las acciones de toma de conciencia, educación, entrenamiento, actualizaciones regulares en políticas y procedimientos de seguridad de la información, según sea relevante para ejecutar el contrato. ETB se reserva el derecho de verificar y monitorear, en cualquier momento o lugar, el cumplimiento de las políticas de seguridad de la información de ETB. Antes de la finalización del contrato, el Contratista deberá devolver los activos físicos y electrónicos encomendados, garantizando que la información pertinente se devuelva a ETB de manera que no podrá usarse para ningún otro fin por parte del Contratista ni de sus trabajadores o sus propios contratistas. Adicionalmente y en caso de que el Contratista o sus trabajadores o sus propios contratistas hayan adquirido un conocimiento importante a partir del desarrollo del contrato, el Contratista se obliga a documentar y transferir a ETB ese conocimientonormatividad legal vigente aplicable.