SEGURIDAD DE LA INFORMACIÓN. El adjudicatario se obliga a cumplir la normativa legal aplicable en materia de seguridad de la información en el marco de los servicios prestados. Con carácter general el adjudicatario se comprometerá a ajustar su actividad y prestar sus servicios con arreglo a las previsiones del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 951/2015, de 23 de octubre, de modificación del anterior. La prestación del servicio quedará sujeta a la Política de seguridad en el ámbito de los sistemas de información del Consejo de Seguridad Nuclear y demás documentos de seguridad derivados de la misma. El adjudicatario y su equipo de trabajo quedan pues obligados al cumplimiento de todas las normas de seguridad del CSN y, en particular: - A no registrar datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por el RD 1720/2007 respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. (Artículo 9.2. LOPD). - A no realizar pruebas con datos de carácter personal. - A no transferir ningún tipo de datos, de carácter personal o no, de documentación o código fuente de los sistemas de información del CSN a soportes de almacenamiento extraíbles sin el expreso consentimiento del CSN. - A no extraer del CSN ningún tipo de información mediante redes de comunicaciones o servicios de almacenamiento externos al CSN, como los disponibles en el “Cloud Computing”, o a las propias instalaciones del contratista. - A notificar cualquier incidencia de seguridad al responsable de Seguridad del CSN según los procedimientos de seguridad del organismo. - A disponer en sus equipos de un sistema de protección antivirus, actualizado periódicamente y de forma automática, que deberá utilizarse sobre cualquier fichero, soporte y software antes de que cualquiera de éstos resida o se instale en los sistemas de información del CSN. La frecuencia de actualización será como mínimo semanal. - A no compartir las cuentas de correo asignadas de forma personal ni desviar de forma automática el correo a cuentas particulares o propias de la empresa adjudicataria. - A mantener cifrada y debidamente custodiada, y a no compartir cualquier tipo de información confidencial que le pueda ser facilitada para la prestación de los servicios contratados. El equipo de trabajo será informado y concienciado por el personal del CSN en los aspectos de seguridad del organismo y cada miembro deberá firmar el reconocimiento de la formación recibida en materia de seguridad. El jefe de proyecto del adjudicatario será el responsable del cumplimiento de las medidas de seguridad por parte del equipo de trabajo. Cuando el adjudicatario acceda de forma remota a infraestructuras del CSN se compromete a: - Custodiar debidamente la información de acceso que le facilite el CSN para la conexión durante el periodo de vigencia del contrato, y a destruirla extinguido el mismo. - No habilitar ni utilizar las funciones de las aplicaciones o sistemas operativos que permitan guardar o recordar las credenciales de acceso de forma automática. - Mantener convenientemente aisladas, lógica y físicamente, las infraestructuras del adjudicatario que se utilicen para acceder a la red corporativa del CSN. Entre cada red, subred o servicio de comunicaciones se implantarán cortafuegos (firewalls) que deberán estar configurados con la política del menor privilegio, bloqueando o denegando cualquier tipo de tráfico no autorizado o innecesario para la prestación del servicio. De la misma forma se permitirán únicamente los puertos, protocolos o servicios autorizados por el CSN. Cualquier puerto, protocolo o servicio no especificado como autorizado se denegará por defecto. En el marco de la ejecución del contrato, y respecto a los sistemas de información objeto del mismo, las siguientes actividades están específicamente prohibidas: - La utilización de los sistemas de información para la realización de actividades ilícitas o no autorizadas, como la comunicación, distribución o cesión de datos, medios u otros contenidos a los que se tenga acceso en virtud de la ejecución de los trabajos y, especialmente, los que estén protegidos por disposiciones de carácter legislativo o normativo. - La instalación no autorizada de software, la modificación de las configuraciones o la conexión a redes. - La modificación no autorizada del sistema de información o del software instalado, o el uso del sistema distinto al de su propósito. - La sobrecarga, prueba, o desactivación de los mecanismos de seguridad y las redes, así como la monitorización de redes o teclados. - La reubicación física y los cambios de configuración de los sistemas de información o de sus redes de comunicación. - La instalación de dispositivos o sistemas ajenos al desarrollo del contrato sin autorización previa, tales como dispositivos USB, soportes externos, ordenadores portátiles, puntos de acceso inalámbricos o PDA. - La posesión, distribución, cesión, revelación o alteración de cualquier información sin el consentimiento expreso del propietario de la misma. - Compartir cuentas e identificadores personales (incluyendo contraseñas y PIN) o permitir el uso de mecanismos de acceso, sean locales o remotos, a usuarios no autorizados. - Inutilizar o suprimir cualquier elemento de seguridad o protección o la información que generen. El adjudicatario adquirirá el compromiso de ser auditado por personal autorizado por el CSN, en cualquier momento en el desarrollo del contrato, con el fin de verificar la seguridad implementada, comprobando que se cumplen las recomendaciones de protección y las medidas de seguridad de la distinta normativa, en función de las condiciones de aplicación en cada caso. Asimismo, el CSN se reserva la posibilidad de monitorizar la actividad del equipo de trabajo del adjudicatario.
Appears in 1 contract
Samples: Service Agreement
SEGURIDAD DE LA INFORMACIÓN. El adjudicatario se obliga a cumplir la normativa legal aplicable en materia de seguridad de la información en el marco de los servicios prestados. Con carácter general deberá prestar especial atención a la observancia de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal; el adjudicatario Real Decreto 1720/2007, de 21 de diciembre, por el que se comprometerá aprueba el Reglamento de desarrollo de la anterior; la Ley 11/2007, de 22 xx xxxxx, de acceso electrónico de los ciudadanos a ajustar su actividad y prestar sus servicios con arreglo a las previsiones del los Servicios Públicos; el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 951/2015, de 23 de octubre, de modificación del anterior. La prestación del servicio quedará sujeta a la Política de seguridad en el ámbito de los sistemas de información del Consejo de Seguridad Nuclear y demás documentos de seguridad derivados de la misma. El adjudicatario y su equipo de trabajo quedan pues obligados al cumplimiento de todas las normas de seguridad del CSN y, en particular: - A no registrar datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por el RD 1720/2007 respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. (Artículo 9.2. LOPD). - A no realizar pruebas con datos de carácter personal. - A no transferir ningún tipo de datos, de carácter personal o no, de documentación o código fuente de los sistemas de información del CSN a soportes de almacenamiento extraíbles sin el expreso consentimiento del CSN. - A no extraer del CSN ningún tipo de información mediante redes de comunicaciones o servicios de almacenamiento externos al CSN, como los disponibles en el “Cloud Computing”, o a las propias instalaciones del contratista. - A notificar cualquier incidencia de seguridad al responsable de Seguridad del CSN según los procedimientos de seguridad del organismo. - A disponer en sus equipos de un sistema de protección antivirus, actualizado periódicamente y de forma automática, que deberá utilizarse sobre cualquier fichero, soporte y software antes de que cualquiera de éstos resida o se instale en los sistemas de información del CSN. La frecuencia de actualización será como mínimo semanal. - A no compartir las cuentas de correo asignadas de forma personal ni desviar de forma automática el correo a cuentas particulares o propias de la empresa adjudicataria. - A mantener cifrada y debidamente custodiada, y a no compartir cualquier tipo de información confidencial que le pueda ser facilitada para la prestación de los servicios contratados. El equipo de trabajo será informado y concienciado por el personal del CSN en los aspectos de seguridad del organismo y cada miembro deberá firmar el reconocimiento de la formación recibida en materia de seguridad. El jefe de proyecto del adjudicatario será el responsable del cumplimiento de las medidas de seguridad por parte del equipo de trabajo. Cuando el adjudicatario acceda de forma remota a infraestructuras del CSN se compromete a: - Custodiar debidamente la información de acceso que le facilite el CSN para la conexión durante el periodo de vigencia del contrato, y a destruirla extinguido el mismo. - No habilitar ni utilizar las funciones de las aplicaciones o sistemas operativos que permitan guardar o recordar las credenciales de acceso de forma automática. - Mantener convenientemente aisladas, lógica y físicamente, las infraestructuras del adjudicatario que se utilicen para acceder a la red corporativa del CSN. Entre cada red, subred o servicio de comunicaciones se implantarán cortafuegos (firewalls) que deberán estar configurados con la política del menor privilegio, bloqueando o denegando cualquier tipo de tráfico no autorizado o innecesario para la prestación del servicio. De la misma forma se permitirán únicamente los puertos, protocolos o servicios autorizados por el CSN. Cualquier puerto, protocolo o servicio no especificado como autorizado se denegará por defecto. En el marco de la ejecución del contrato, y respecto a los sistemas de información objeto del mismo, las siguientes actividades están específicamente prohibidas: - La utilización de los sistemas de información para la realización de actividades ilícitas o no autorizadas, como la comunicación, distribución o cesión de datos, medios u otros contenidos a los que se tenga acceso en virtud de la ejecución de los trabajos y, especialmente, los que estén protegidos por disposiciones de carácter legislativo o normativo. - La instalación no autorizada de software, la modificación de las configuraciones o la conexión a redes. - La modificación no autorizada del sistema de información o del software instalado, o el uso del sistema distinto al de su propósito. - La sobrecarga, prueba, o desactivación de los mecanismos de seguridad y las redes, así como la monitorización de redes o teclados. - La reubicación física y los cambios de configuración de los sistemas de información o de sus redes de comunicación. - La instalación de dispositivos o sistemas ajenos al desarrollo del contrato sin autorización previa, tales como dispositivos USB, soportes externos, ordenadores portátiles, puntos de acceso inalámbricos o PDA’s. - La posesión, distribución, cesión, revelación o alteración de cualquier información sin el consentimiento expreso del propietario de la misma. - Compartir cuentas e identificadores personales (incluyendo contraseñas y PINPINs) o permitir el uso de mecanismos de acceso, sean locales o remotos, remoto a usuarios no autorizados. - Inutilizar o suprimir cualquier elemento de seguridad o protección o la información que generen. El adjudicatario adquirirá el compromiso de ser auditado por personal autorizado por el CSN, en cualquier momento en el desarrollo del contrato, con el fin de verificar la seguridad implementada, comprobando que se cumplen las recomendaciones de protección y las medidas de seguridad de la distinta normativa, en función de las condiciones de aplicación en cada caso. Asimismo, el CSN se reserva la posibilidad de monitorizar la actividad del equipo de trabajo del adjudicatariotrabajo.
Appears in 1 contract
Samples: Servicio De Soporte Técnico
SEGURIDAD DE LA INFORMACIÓN. El adjudicatario se obliga a cumplir la normativa legal aplicable en materia de seguridad de la información en el marco de los servicios prestados. Con carácter general deberá prestar especial atención a la observancia de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal; el adjudicatario Real Decreto 1720/2007, de 21 de diciembre, por el que se comprometerá aprueba el Reglamento de desarrollo de la anterior; la Ley 11/2007, de 22 xx xxxxx, de acceso electrónico de los ciudadanos a ajustar su actividad y prestar sus servicios con arreglo a las previsiones del los Servicios Públicos; el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 951/2015, de 23 de octubre, de modificación del anterior. La prestación del servicio quedará sujeta a la Política de seguridad en el ámbito de los sistemas de información del Consejo de Seguridad Nuclear y demás documentos de seguridad derivados de la misma. El adjudicatario y su equipo de trabajo quedan pues obligados al cumplimiento de todas las normas de seguridad del CSN y, en particular: - A no registrar datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por el RD 1720/2007 respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. (Artículo 9.2. LOPD). - A no realizar pruebas con datos de carácter personal. - A no transferir ningún tipo de datos, de carácter personal o no, de documentación o código fuente de los sistemas de información del CSN a soportes de almacenamiento extraíbles sin el expreso consentimiento del CSN. - A no extraer del CSN ningún tipo de información mediante redes de comunicaciones o servicios de almacenamiento externos al CSN, como los disponibles en el “Cloud Computing”, o a las propias instalaciones del contratista. - A notificar cualquier incidencia de seguridad al responsable de Seguridad del CSN según los procedimientos de seguridad del organismo. - A disponer en sus equipos de un sistema de protección antivirus, actualizado periódicamente y de forma automática, que deberá utilizarse sobre cualquier fichero, soporte y software antes de que cualquiera de éstos resida o se instale en los sistemas de información del CSN. La frecuencia de actualización será como mínimo semanal. - A no compartir las cuentas de correo asignadas de forma personal ni desviar de forma automática el correo a cuentas particulares o propias de la empresa adjudicataria. - A mantener cifrada y debidamente custodiada, y a no compartir cualquier tipo de información confidencial que le pueda ser facilitada para la prestación de los servicios contratados. El equipo de trabajo será informado y concienciado por el personal del CSN en los aspectos de seguridad del organismo y cada miembro deberá firmar el reconocimiento de la formación recibida en materia de seguridad. El jefe de proyecto gestor del servicio del adjudicatario será el responsable del cumplimiento de las medidas de seguridad por parte del equipo de trabajo. Cuando el adjudicatario acceda de forma remota a infraestructuras del CSN se compromete a: - Custodiar debidamente la información de acceso que le facilite el CSN para la conexión durante el periodo de vigencia del contrato, y a destruirla extinguido el mismo. - No habilitar ni utilizar las funciones de las aplicaciones o sistemas operativos que permitan guardar o recordar las credenciales de acceso de forma automática. - Mantener convenientemente aisladas, lógica y físicamente, las infraestructuras del adjudicatario que se utilicen para acceder a la red corporativa del CSN. Entre cada red, subred o servicio de comunicaciones se implantarán cortafuegos (firewalls) que deberán estar configurados con la política del menor privilegio, bloqueando o denegando cualquier tipo de tráfico no autorizado o innecesario para la prestación del servicio. De la misma forma se permitirán únicamente los puertos, protocolos o servicios autorizados por el CSN. Cualquier puerto, protocolo o servicio no especificado como autorizado se denegará por defecto. En el marco de la ejecución del contrato, y respecto a los sistemas de información objeto del mismo, las siguientes actividades están específicamente prohibidas: - La utilización de los sistemas de información para la realización de actividades ilícitas o no autorizadas, como la comunicación, distribución o cesión de datos, medios u otros contenidos a los que se tenga acceso en virtud de la ejecución de los trabajos y, especialmente, los que estén protegidos por disposiciones de carácter legislativo o normativo. - La instalación no autorizada de software, la modificación de las configuraciones o la conexión a redes. - La modificación no autorizada del sistema de información o del software instalado, o el uso del sistema distinto al de su propósito. - La sobrecarga, prueba, o desactivación de los mecanismos de seguridad y las redes, así como la monitorización de redes o teclados. - La reubicación física y los cambios de configuración de los sistemas de información o de sus redes de comunicación. - La instalación de dispositivos o sistemas ajenos al desarrollo del contrato sin autorización previa, tales como dispositivos USB, soportes externos, ordenadores portátiles, puntos de acceso inalámbricos o PDAinalámbricos, etc. - La posesión, distribución, cesión, revelación o alteración de cualquier información sin el consentimiento expreso del propietario de la misma. - Compartir cuentas e identificadores personales (incluyendo contraseñas y PIN) o permitir el uso de mecanismos de acceso, sean locales o remotos, remoto a usuarios no autorizados. - Inutilizar o suprimir cualquier elemento de seguridad o protección o la información que generen. El adjudicatario adquirirá el compromiso de ser auditado por personal autorizado por el CSN, en cualquier momento en el desarrollo del contrato, con el fin de verificar la seguridad implementada, comprobando que se cumplen las recomendaciones de protección y las medidas de seguridad de la distinta normativa, en función de las condiciones de aplicación en cada caso. Asimismo, el CSN se reserva la posibilidad de monitorizar la actividad del equipo de trabajo del adjudicatariotrabajo.
Appears in 1 contract
Samples: Servicio De Monitorización, Administración Y Mantenimiento
SEGURIDAD DE LA INFORMACIÓN. El adjudicatario Teniendo en cuenta
1. EL CONTRATISTA será responsable de establecer y mantener un programa de seguridad de la información, incluyendo seguridad de elementos físicos, digitales, virtuales, ciberespacio independiente de su tránsito y/o ubicación del cual deberá entregar una certificación anual o semestral de acuerdo a la vigencia del contrato, realizado por un auditor externo independiente de una empresa que cuente con experiencia certificada que lo acrediten como experto auditor en temas de seguridad de la información, el cual debe estar diseñado para: a) Garantizar la protección y confidencialidad de toda la información a la que se obliga tenga acceso con ocasión del presente contrato y de acuerdo a cumplir su nivel de sensibilidad. b) Proteger de manera anticipada contra amenazas y/o riesgos que puedan llegar a afectar la normativa legal aplicable en materia información a la que se tenga acceso con ocasión del presente contrato, c) Proteger contra el acceso o uso no autorizados de la Información Confidencial o clasificada como datos personales según la ley 1581 de 2012 o norma que la reemplace, modifique o complemente d) Garantizar que toda la información sea tratada conforme a los estándares de seguridad aplicables. EL CONTRATISTA deberá desarrollar procedimientos para gestionar cualquier incidente de acceso no autorizado y/o violación que amenace la seguridad de la Información Confidencial del Banco y/o datos personales según la ley 1581 de 2012 o norma que la reemplace, modifique o complemente y lo notificará a través del supervisor de manera inmediata y oportuna al conocimiento del mismo. e) EL CONTRATISTA podrá modificar sus procedimientos de seguridad de la información en el marco de los servicios prestados. Con carácter general el adjudicatario se comprometerá a ajustar su actividad y prestar sus servicios con arreglo a las previsiones del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 951/2015, de 23 de octubre, de modificación del anterior. La prestación del servicio quedará sujeta a la Política de incluyendo seguridad en el ámbito de los sistemas de información del Consejo de Seguridad Nuclear y demás documentos de seguridad derivados de la misma. El adjudicatario y su equipo de trabajo quedan pues obligados al cumplimiento de todas las normas de seguridad del CSN yfísica, en particular: - A no registrar datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por el RD 1720/2007 respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. (Artículo 9.2. LOPD). - A no realizar pruebas con datos de carácter personal. - A no transferir ningún tipo de datos, de carácter personal o no, de documentación o código fuente de los sistemas de información del CSN a soportes de almacenamiento extraíbles sin el expreso consentimiento del CSN. - A no extraer del CSN ningún tipo de información mediante redes de comunicaciones o servicios de almacenamiento externos al CSN, como los disponibles en el “Cloud Computing”, o a las propias instalaciones del contratista. - A notificar cualquier incidencia de seguridad al responsable de Seguridad del CSN según los procedimientos de seguridad del organismo. - A disponer en sus equipos de un sistema de protección antivirus, actualizado periódicamente y de forma automática, que deberá utilizarse sobre cualquier fichero, soporte y software antes de que cualquiera de éstos resida o se instale en los sistemas de información del CSN. La frecuencia de actualización será como mínimo semanal. - A no compartir las cuentas de correo asignadas de forma personal ni desviar de forma automática el correo a cuentas particulares o propias de momento durante la empresa adjudicataria. - A mantener cifrada y debidamente custodiada, y a no compartir cualquier tipo de información confidencial que le pueda ser facilitada para la prestación de los servicios contratados. El equipo de trabajo será informado y concienciado por el personal del CSN en los aspectos de seguridad del organismo y cada miembro deberá firmar el reconocimiento de la formación recibida en materia de seguridad. El jefe de proyecto del adjudicatario será el responsable del cumplimiento de las medidas de seguridad por parte del equipo de trabajo. Cuando el adjudicatario acceda de forma remota a infraestructuras del CSN se compromete a: - Custodiar debidamente la información de acceso que le facilite el CSN para la conexión durante el periodo de vigencia del contrato, de conformidad con las normas aplicables y buenas prácticas de seguridad de la información, previa notificación y aprobación por parte del Banco Davivienda. Aprobación que en el evento de otorgarse, se expedirá 30 días después de la notificación de dicho cambio.
2. Contar con dispositivos y herramientas de seguridad idóneos que protejan sus redes e infraestructura tecnológica.
3. Establecer controles, herramientas y/o mecanismos para el borrado seguro y destrucción de la información conforme a destruirla extinguido el mismo. - No habilitar ni utilizar las funciones mejores prácticas de las aplicaciones o sistemas operativos que permitan guardar o recordar las credenciales la industria y procedimientos y mecanismos para la devolución y entrega al Banco Davivienda de acceso de forma automática. - Mantener convenientemente aisladas, lógica y físicamente, las infraestructuras del adjudicatario que se utilicen para acceder toda la información a la red corporativa del CSN. Entre cada red, subred o servicio de comunicaciones se implantarán cortafuegos (firewalls) que deberán estar configurados con tuvo acceso durante la política del menor privilegio, bloqueando o denegando cualquier tipo de tráfico no autorizado o innecesario para la prestación del servicio. De la misma forma se permitirán únicamente los puertos, protocolos o servicios autorizados por el CSN. Cualquier puerto, protocolo o servicio no especificado como autorizado se denegará por defecto. En el marco de la ejecución vigencia del contrato, y respecto a .
4. Para los sistemas contratos que contemplen prestación de información objeto del mismo, las siguientes servicios en actividades están específicamente prohibidasde informática y/o desarrollos por ejemplo: - La utilización de los sistemas de información para la realización de actividades ilícitas o no autorizadas, como la comunicación, distribución o cesión de datos, medios u otros contenidos a los que se tenga acceso en virtud de la ejecución de los trabajos y, especialmente, los que estén protegidos por disposiciones de carácter legislativo o normativo. - La instalación no autorizada Desarrollo de software, implementación y administración de Bases de Datos, Infraestructura TI, equipos de enlaces de comunicación, servicios prestados en nube, entre otros, además de lo anterior, se exige a EL CONTRATISTA, confidencialidad, cumplimiento de los estándares y requisitos de Seguridad de la modificación Información del Banco Davivienda, y principalmente debe realizar las actividades de las configuraciones o la conexión a redes. - La modificación no autorizada del sistema de información o del software instalado, o el uso del sistema distinto al de su propósito. - La sobrecarga, prueba, o desactivación de los mecanismos de seguridad y las redes, así como la monitorización de redes o teclados. - La reubicación cuales deberá dejar evidencia física y entregarla en caso que el Banco Davivienda lo requiera: a) Una capacitación por lo menos una vez al año para los cambios funcionarios que ejecuten de configuración de los sistemas de información manera directa o de sus redes de comunicación. - La instalación de dispositivos o sistemas ajenos al desarrollo del contrato sin autorización previa, tales como dispositivos USB, soportes externos, ordenadores portátiles, puntos de acceso inalámbricos o PDA. - La posesión, distribución, cesión, revelación o alteración de cualquier información sin el consentimiento expreso del propietario de la misma. - Compartir cuentas e identificadores personales (incluyendo contraseñas y PIN) o permitir el uso de mecanismos de acceso, sean locales o remotos, a usuarios no autorizados. - Inutilizar o suprimir cualquier elemento de seguridad o protección o la información que generen. El adjudicatario adquirirá el compromiso de ser auditado por personal autorizado por el CSN, en cualquier momento en indirecta el desarrollo del contrato, en temas relacionados con seguridad de la información y seguridad física. b) Ejecutar pruebas de vulnerabilidad por un tercero especializado que generen un diagnóstico del nivel de seguridad existente en todos los componentes comprometidos en la prestación del servicio contratado con una periodicidad mínima de dos (2) veces por año, con una diferencia de al menos seis meses entre cada prueba durante la vigencia del contrato; para los sitios web transaccionales con una periodicidad mínima de cuatro (4) veces por año, con una diferencia de al menos tres (3) meses entre cada prueba durante la vigencia del contrato; y cuando se realicen cambios en la infraestructura tecnológica que soporta el fin servicio contratado. EL CONTRATISTA debe informar los resultados de verificar las diferentes pruebas de vulnerabilidad, la seguridad implementadagestión de remediación de las identificadas y entregar la evidencia al Banco Davivienda cada vez que sean ejecutadas de acuerdo a los términos establecidos en esta cláusula. c) Implementar y documentar procedimientos a seguir cuando se encuentra evidencia de alteración o manipulación indebida de equipos o información. Esto implica tener implementado un proceso de gestión y respuesta a incidentes que permita identificar y documentar entre otros ítems, comprobando causa raíz del incidente, los efectos e impactos causados, los detalles sobre el plan de respuesta y cierre, así como mantener las evidencias digitales, custodia y disponibilidad de las mismas.
5. Para los contratos que dentro de la prestación de su servicio reciba, almacenen, procesen, entreguen o trasmitan datos de titulares de tarjetas y/o datos confidenciales de autenticación, de acuerdo al estándar PCI DSS (Payment Card Industry Data Security Standard), además de lo anterior, se cumplen exige a EL CONTRATISTA a) La certificación de los requisitos de la regulación PCI DSS (Payment Card Industry Data Security Standard) que apliquen. b) Con una periodicidad mínima anual, envío de evidencia del cumplimiento o certificación de dichos requisitos expedida por un QSA (Qualified Security Assessor) al Banco Davivienda.
6. Para los contratos que incluyan cualquier tipo de servicio con información alojada en la nube, el CONTRATISTA se obliga a cumplir con las recomendaciones políticas establecidas por el Banco Davivienda para este fin, las cuales son anexo que hace parte integral del contrato.
7. Para los contratos que dentro de protección la prestación de su servicio reciban, almacenen, procesen, entreguen o trasmitan datos personales conforme a lo estipulado en la Ley 1581 de 2012 y demás decretos reglamentarios, o norma que la reemplace, modifique o complemente EL CONTRATISTA declara conocer, aceptar y cumplir la regulación en materia de datos personales y mantener durante la vigencia del contrato las medidas de seguridad y protección requeridas por los entes de control respectivos y la distinta normativa, en función de las condiciones de aplicación en cada caso. Asimismo, el CSN se reserva la posibilidad de monitorizar la actividad del equipo de trabajo del adjudicatarionormatividad legal vigente aplicable.
Appears in 1 contract
Samples: Service Agreement
SEGURIDAD DE LA INFORMACIÓN. El adjudicatario Si fuera preciso por el PROVEEDOR el acceso y la utilización de los sistemas tecnológicos del BANCO entendidos estos como el conjunto de elementos de software (programas), hardware (máquinas) y de soportes de la información electrónica implantados, el PROVEEDOR se obliga a cumplir en todo momento con la normativa legal aplicable Política de Seguridad de los Sistemas de Información que el BANCO tenga establecida en materia cada momento y en particular, en la actualidad, con el vigente Protocolo de seguridad Utilización de la información Tecnología de la Información y de las Comunicaciones en el marco Grupo Sabadell. Con tal finalidad, el BANCO entrega en este acto al PROVEEDOR una copia del citado Protocolo, acusando éste recibo de su entrega y surtiendo plena eficacia para el PROVEEDOR a los efectos de lo dispuesto en esta cláusula y en la cláusula “Responsabilidades”, desde el momento en que el acceso y la utilización de los servicios prestados. Con carácter general sistemas tecnológicos, según se definen en el adjudicatario Protocolo, se comprometerá lleven a ajustar su actividad y prestar sus servicios con arreglo a las previsiones del Real Decreto 3/2010, de 8 de enero, cabo por el que PROVEEDOR. En este sentido, el PROVEEDOR se regula compromete a informar a sus empleados sobre el Esquema Nacional contenido del protocolo antes de Seguridad en el ámbito de iniciar la Administración Electrónica y el Real Decreto 951/2015, de 23 de octubre, de modificación del anterior. La prestación del servicio quedará sujeta a la Política de seguridad en objeto del presente contrato. En el ámbito de los sistemas de información del Consejo de Seguridad Nuclear y demás documentos de seguridad derivados de la misma. El adjudicatario y su equipo de trabajo quedan pues obligados al cumplimiento de todas las normas de seguridad del CSN y, en particular: - A no registrar datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por el RD 1720/2007 respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. (Artículo 9.2. LOPD). - A no realizar pruebas con datos de carácter personal. - A no transferir ningún tipo de datos, de carácter personal o no, de documentación o código fuente de los sistemas de información del CSN a soportes de almacenamiento extraíbles sin el expreso consentimiento del CSN. - A no extraer del CSN ningún tipo de información mediante redes de comunicaciones o servicios de almacenamiento externos al CSN, como los disponibles en el “Cloud Computing”, o a las propias instalaciones del contratista. - A notificar cualquier incidencia de seguridad al responsable de Seguridad del CSN según los procedimientos de seguridad del organismo. - A disponer en sus equipos de un sistema de protección antivirus, actualizado periódicamente y de forma automática, que deberá utilizarse sobre cualquier fichero, soporte y software antes caso de que cualquiera de éstos resida o se instale en los sistemas de información del CSN. La frecuencia de actualización será como mínimo semanal. - A no compartir las cuentas de correo asignadas de forma personal ni desviar de forma automática el correo a cuentas particulares o propias de la empresa adjudicataria. - A mantener cifrada y debidamente custodiada, y a no compartir cualquier tipo de información confidencial que le pueda ser facilitada para la prestación de los servicios contratados. El equipo el PROVEEDOR deba tener acceso y utilización de trabajo será informado y concienciado por los sistemas tecnológicos del BANCO, el personal del CSN PROVEEDOR aplicará en los aspectos de seguridad del organismo y cada miembro deberá firmar el reconocimiento de la formación recibida en materia de seguridad. El jefe de proyecto del adjudicatario será el responsable del cumplimiento de caso las medidas de seguridad establecidas en las Cláusulas de Seguridad de la Información para el Servicio/Proveedor de Tipo A, B o C conforme a la redacción de las mismas que consta protocolizado en escritura otorgada ante el Xxxxxxx xx Xxxxxxxx D. Xxxxxx Xxxx Xxxxx en fecha 28 de noviembre de 2017, bajo el número de su protocolo 11.193, fotocopia de la cual el PROVEEDOR declara haber recibido con antelación suficiente para su valoración y validación de su aplicación con anterioridad a la firma del presente contrato. De implicar el servicio contratado desarrollos de software por parte del equipo PROVEEDOR, éste deberá cumplir adicionalmente con las medidas establecidas en la CLÁUSULA CONDICIONADA A SERVICIOS DE DESARROLLO de trabajodicha escritura. Cuando En el adjudicatario acceda caso de forma remota a infraestructuras del CSN se compromete a: - Custodiar debidamente la información de acceso que le facilite el CSN para la conexión durante el periodo de vigencia del contrato, y a destruirla extinguido el mismo. - No habilitar ni utilizar las funciones de las aplicaciones o sistemas operativos que permitan guardar o recordar las credenciales de acceso de forma automática. - Mantener convenientemente aisladas, lógica y físicamente, las infraestructuras del adjudicatario que se utilicen para acceder a la red corporativa del CSN. Entre cada red, subred o servicio de comunicaciones se implantarán cortafuegos (firewalls) que deberán estar configurados con la política del menor privilegio, bloqueando o denegando cualquier tipo de tráfico no autorizado o innecesario para la prestación del servicio. De la misma de sus servicios el PROVEEDOR realice subcontratación de los mismos, ya sea de forma se permitirán únicamente parcial o completa, aquel deberá cumplir adicionalmente con los puertos, protocolos o servicios autorizados por principios establecidos en el CSN. Cualquier puerto, protocolo o servicio no especificado como autorizado se denegará por defectoapartado CLÁUSULA CONDICIONADA A LA SUBCONTRATACIÓN TOTAL O PARCIAL DEL SERVICIO CONTRATADO asimismo incluido en dicho documento. En el marco supuesto de que para la ejecución del contratoprestación de sus servicios el PROVEEDOR use, total o parcialmente, servicios de computación en la nube, será de aplicación lo siguiente, que en cada caso se especificará en el correspondiente Contrato Particular: - si se trata de nube pública, privada, híbrida o comunitaria y respecto su ubicación geográfica. - el BANCO podrá requerir el PROVEEDOR un plan de continuidad de negocio apropiado a los sistemas servicios prestados bajo el presente Contrato así como el cumplimiento de información objeto las siguientes obligaciones de auditoría y derecho de acceso, conforme a las Recomendaciones de EBA EBA/REC/2017/03 de 28 xx Xxxxx de 2018 o cualesquiera otras que puedan modificarlas o complementarlas en el futuro, adicionalmente a las establecidas en la Cláusula “Control y Supervisión”. - Por ello, el PROVEEDOR se obliga a proporcionar al BANCO, al auditor legal del mismo, las siguientes actividades están específicamente prohibidas: - La utilización de los sistemas de información para la realización de actividades ilícitas o no autorizadas, como la comunicación, distribución o cesión de datos, medios u otros contenidos a los que se tenga acceso en virtud de la ejecución de los trabajos y, especialmente, los que estén protegidos por disposiciones de carácter legislativo o normativo. - La instalación no autorizada de software, la modificación de las configuraciones o la conexión a redes. - La modificación no autorizada del sistema de información o del software instaladoal Supervisor, o el uso del sistema distinto al a cualquier tercero designado a tal fin por cualquiera de su propósito. - La sobrecargaellos, pruebaacceso pleno a las instalaciones (oficinas centrales y centros de operaciones), o desactivación incluida toda la gama de dispositivos, sistemas, redes y datos utilizados para prestar los mecanismos servicios (derecho de seguridad y las redesacceso), así como derechos ilimitados de inspección y auditoría en relación con los servicios (derecho de auditoría). Ningún acuerdo contractual obstaculizará ni limitará el ejercicio efectivo de ambos derechos ni limitará que el BANCO y/o el Supervisor puedan llevar a cabo su función y/o sus objetivos de supervisión. La parte que tenga intención de ejercer su derecho de acceso deberá informar con un periodo de tiempo razonable de la monitorización visita in situ prevista antes de redes su realización, a menos que no sea posible notificar la visita con antelación debido a una situación de emergencia o tecladoscrisis. - La reubicación física El PROVEEDOR deberá colaborar plenamente con el BANCO, el auditor legal del mismo, el Supervisor o cualquier tercero designado por cualquiera de ellos en relación con la visita in situ. Asimismo el BANCO podrá considerar en todo momento la adopción de medidas específicas por parte de el PROVEEDOR, las cuales una vez notificadas el PROVEEDOR se obliga a implantar, a fin de proteger los datos en tránsito, los datos en memoria y los cambios de configuración de los sistemas de información o de sus redes de comunicación. - La instalación de dispositivos o sistemas ajenos al desarrollo del contrato sin autorización previadatos en reposo, tales como dispositivos USB, soportes externos, ordenadores portátiles, puntos de acceso inalámbricos o PDA. - La posesión, distribución, cesión, revelación o alteración de cualquier información sin el consentimiento expreso del propietario de la misma. - Compartir cuentas e identificadores personales (incluyendo contraseñas y PIN) o permitir el uso de mecanismos tecnologías de acceso, sean locales o remotos, a usuarios no autorizados. - Inutilizar o suprimir cualquier elemento cifrado combinadas con una arquitectura de seguridad o protección o la información que generen. El adjudicatario adquirirá el compromiso gestión de ser auditado por personal autorizado por el CSN, en cualquier momento en el desarrollo del contrato, con el fin de verificar la seguridad implementada, comprobando que se cumplen las recomendaciones de protección y las medidas de seguridad de la distinta normativa, en función de las condiciones de aplicación en cada caso. Asimismo, el CSN se reserva la posibilidad de monitorizar la actividad del equipo de trabajo del adjudicatarioclaves adecuada.
Appears in 1 contract
Samples: Contratación De Proveedores