Common use of SEGURIDAD DE LA INFORMACIÓN Clause in Contracts

SEGURIDAD DE LA INFORMACIÓN. Cuando se trate de contratos que supongan el uso de información clasificada, o requieran o comporten tal información, la entidad o el poder adjudicador especificará en la documentación del con­ trato (los anuncios de licitación, el pliego de condiciones, los documentos descriptivos o los documentos de apoyo) las medi­ das y exigencias necesarias para garantizar la seguridad de esa información al nivel requerido. A tal fin, la entidad o el poder adjudicador podrá exigir que la oferta incluya, entre otras cosas, lo siguiente: a) el compromiso del licitador y de los subcontratistas ya iden­ tificados de salvaguardar adecuadamente la confidencialidad de toda la información clasificada que posean o que llegue a su conocimiento a lo largo de la duración del contrato y des­ pués de la terminación o de la conclusión del contrato, de conformidad con las disposiciones legislativas, reglamenta­ rias y administrativas pertinentes; b) el compromiso del licitador de obtener el compromiso esta­ blecido en la letra a) de los otros subcontratistas a los que subcontrate durante la ejecución del contrato; c) información suficiente sobre los subcontratistas ya identifi­ cados que permita a la entidad o poder adjudicador determi­ nar si cada uno de ellos posee la capacidad necesaria para salvaguardar adecuadamente la confidencialidad de la infor­ mación clasificada a la que tengan acceso o que vayan a gene­ rar con motivo de la realización de sus actividades de subcontratación; d) el compromiso del licitador de presentar la información requerida en la letra c) sobre los nuevos subcontratistas antes de adjudicarles un subcontrato. A falta de armonización a escala comunitaria de los sistemas nacionales de acreditación de seguridad, los Estados miembros podrán disponer que las medidas y los requisitos a que se refiere el párrafo segundo cumplan con sus disposiciones nacionales en materia de acreditación de seguridad. Los Estados miembros reco­ nocerán las habilitaciones de seguridad que consideren equivalen­ tes a las expedidas de acuerdo con su legislación nacional, a pesar de la posibilidad de llevar a cabo y tener en cuenta ulteriores investigaciones propias si se consideran necesarias.

SEGURIDAD DE LA INFORMACIÓN. Cuando se trate de contratos que supongan el uso de información clasificada, o requieran o comporten tal información, la entidad o el poder adjudicador especificará en la documentación del con­ trato (los anuncios de licitación, el pliego de condiciones, los documentos descriptivos o los documentos de apoyo) las medi­ das y exigencias necesarias El Proveedor deberá establecer procedimientos adecuados para garantizar la protección frente a pérdidas o tratamiento no autorizado de los ficheros, soportes y documentos en papel que contengan información relacionada con los Servicios, así como su destrucción cuando dejen de ser necesarios para los motivos de su creación. La extracción de datos de un fichero y su depósito en un servidor o su envío por medios elec- trónicos se consideran equiparables a los soportes informáticos en lo que respecta al cumplimiento de estas medidas. Cepsa podrá solicitar información relativa a cualquier tratamiento de Información Protegida realizado por el Proveedor. En estos casos el Proveedor deberá aplicar medidas de seguridad acordes con la sensibilidad de esa la información que contengan. El Proveedor deberá aportar, a requerimiento de Cepsa, evidencias de evaluaciones o auditorías de seguri- dad o, incluso, permitir, a petición de Cepsa, que se lleven a cabo en sus instalaciones de tratamiento de datos o en servicios en la nube, auditorías y/o inspecciones independientes de las medidas de seguridad reguladas por las presentes cláusulas. Dichas auditorías o inspecciones podrán ser realizadas por Cepsa o por una entidad auditora aceptada por Cepsa, poniendo en conocimiento del Proveedor el comienzo de las mismas con una antelación mínima de 10 días naturales. Éstas se llevarán a cabo durante las horas norma- les de funcionamiento de las oficinas del proveedor, y en ningún caso entorpecerá el trabajo que se desa- rrolle en las mismas. La auditoría no alterará la responsabilidad del Proveedor ni le eximirá del cumplimien- to de sus obligaciones bajo los términos del Contrato, comprometiéndose el Proveedor al nivel requeridocumplimiento del posible plan de acción resultante de éstas. A tal En aquellos casos en los que los datos o información relacionada con los Servicios sea propiedad de Cepsa o en los que los elementos de la infraestructura sean proporcionados al Proveedor por Cepsa, el Proveedor los procesará y utilizará únicamente para cumplir con sus obligaciones al amparo del Contrato y para nin- gún otro fin. El Proveedor mantendrá, al menos, las medidas de seguridad técnicas y organizativas consistentes con el tipo de Información Protegida que estén procesando y con los servicios objeto del Contrato, para asegurar la entidad Información Protegida. Estas medidas implementarán las protecciones aceptadas por la industria que incluirán garantías físicas, electrónicas y procedimentales para proteger la Información Protegida dada por el Proveedor contra cualquier Fallo de Seguridad de Datos o cualquier otro incidente de seguridad, y cual- quier requerimiento de seguridad, obligaciones, especificaciones o evento reportable expuestos en el poder adjudicador podrá exigir Con- trato. Como parte de estas medidas, el Proveedor ofrecerá un entorno seguro para toda la Información Protegida y para cualquier hardware o software en los que esté contenida la oferta incluyaInformación Protegida (inclu- yendo servidores, entre otras cosasredes y componentes de datos) que deban ser facilitados o usados por el Proveedor como parte de su cumplimiento del Contrato, lo siguienteen la medida que el mismo se encuentre en las instalaciones del Proveedor. El Proveedor deberá establecer los mecanismos y procedimientos de identificación, autenticación y control de acceso lógico necesarios para impedir que el personal no autorizado acceda a los elementos de su infra- estructura y a la Información Protegida de Cepsa y, en particular: a) Dispondrá de procedimientos basados en el compromiso del licitador principio de privilegio mínimo y que tengan en cuenta la necesidad de los subcontratistas ya iden­ tificados de salvaguardar adecuadamente la confidencialidad de toda la información clasificada que posean o que llegue a su conocimiento a lo largo de la duración del contrato uso y des­ pués de la terminación o de la conclusión del contrato, de conformidad con las disposiciones legislativas, reglamenta­ rias y administrativas pertinentes; b) el compromiso del licitador de obtener el compromiso esta­ blecido en la letra a) de los otros subcontratistas a los que subcontrate durante la ejecución del contrato; c) información suficiente sobre los subcontratistas ya identifi­ cados que permita a la entidad o poder adjudicador determi­ nar si cada uno de ellos posee la capacidad necesaria para salvaguardar adecuadamente la confidencialidad de la infor­ mación clasificada a la información cuando autoricen accesos y permisos, de forma que tengan acceso el Personal, sea del Proveedor o que vayan a gene­ rar con motivo de la realización de sus actividades subcontratistas, incluyendo usuarios privile- giados y administradores, acceda únicamente a aquellos datos y recursos que precisen para el desarrollo de subcontratación;sus funciones. db) el compromiso del licitador de presentar la información requerida en la letra c) sobre los nuevos subcontratistas antes de adjudicarles Mantendrá un subcontrato. A falta de armonización a escala comunitaria inventario actualizado de los sistemas nacionales accesos y permisos concedidos y retirará los permisos de acreditación acceso del personal que deje de seguridadtrabajar para cumplir con el alcance del Contrato en un plazo inferior a 24h. Las credenciales se almacenarán y transmitirán siempre encriptadas. Dispondrá de una política y procedimientos que aseguren la fortaleza de las contraseñas y su actualización pe- riódica. Se asegurarán los cambios de las contraseñas en los procesos de instalación de nuevos elementos de hardware o software y, los Estados miembros podrán disponer que en especial, de las medidas y los requisitos a que se refiere el párrafo segundo cumplan con sus disposiciones nacionales en materia de acreditación de seguridad. Los Estados miembros reco­ nocerán las habilitaciones de seguridad que consideren equivalen­ tes a las expedidas de acuerdo con su legislación nacional, a pesar de la posibilidad de llevar a cabo y tener en cuenta ulteriores investigaciones propias si se consideran necesariascontraseñas predeterminadas del Provee- dor.

SEGURIDAD DE LA INFORMACIÓN. Cuando se trate de contratos que supongan el uso de información clasificada, o requieran o comporten tal información, la entidad o el poder adjudicador especificará en la documentación del con­ trato (los anuncios de licitación, el pliego de condiciones, los documentos descriptivos o los documentos de apoyo) las medi­ das y exigencias necesarias El Proveedor deberá establecer procedimientos adecuados para garantizar la protección frente a pérdidas o tratamiento no autorizado de los ficheros, soportes y documentos en papel que contengan información relacionada con los Servicios, así como su destrucción cuando dejen de ser necesarios para los motivos de su creación. La extracción de datos de un fichero y su depósito en un servidor o su envío por medios elec- trónicos se consideran equiparables a los soportes informáticos en lo que respecta al cumplimiento de es- tas medidas. Cepsa podrá solicitar información relativa a cualquier tratamiento de Información Protegida realizado por el Proveedor. En estos casos el Proveedor deberá aplicar medidas de seguridad acordes con la sensibilidad de esa la información que contengan. El Proveedor deberá aportar, a requerimiento de Cepsa, evidencias de evaluaciones o auditorías de seguri- dad o, incluso, permitir, a petición de Cepsa, que se lleven a cabo en sus instalaciones de tratamiento de datos o en servicios en la nube, auditorías y/o inspecciones independientes de las medidas de seguridad reguladas por las presentes cláusulas. Dichas auditorías o inspecciones podrán ser realizadas por Cepsa o por una entidad auditora aceptada por Cepsa, poniendo en conocimiento del Proveedor el comienzo de las mismas con una antelación mínima de 10 días naturales. Éstas se llevarán a cabo durante las horas norma- les de funcionamiento de las oficinas del proveedor, y en ningún caso entorpecerá el trabajo que se desa- rrolle en las mismas. La auditoría no alterará la responsabilidad del Proveedor ni le eximirá del cumplimien- to de sus obligaciones bajo los términos del Contrato, comprometiéndose el Proveedor al nivel requeridocumplimiento del posible plan de acción resultante de éstas. A tal En aquellos casos en los que los datos o información relacionada con los Servicios sea propiedad de Cepsa o en los que los elementos de la infraestructura sean proporcionados al Proveedor por Cepsa, el Proveedor los procesará y utilizará únicamente para cumplir con sus obligaciones al amparo del Contrato y para nin- gún otro fin. El Proveedor mantendrá, al menos, las medidas de seguridad técnicas y organizativas consistentes con el tipo de Información Protegida que estén procesando y con los servicios objeto del Contrato, para asegurar la entidad Información Protegida. Estas medidas implementarán las protecciones aceptadas por la industria que incluirán garantías físicas, electrónicas y procedimentales para proteger la Información Protegida dada por el Proveedor contra cualquier Fallo de Seguridad de Datos o cualquier otro incidente de seguridad, y cual- quier requerimiento de seguridad, obligaciones, especificaciones o evento reportable expuestos en el poder adjudicador podrá exigir Con- trato. Como parte de estas medidas, el Proveedor ofrecerá un entorno seguro para toda la Información Protegida y para cualquier hardware o software en los que esté contenida la oferta incluyaInformación Protegida (inclu- yendo servidores, entre otras cosasredes y componentes de datos) que deban ser facilitados o usados por el Proveedor como parte de su cumplimiento del Contrato, lo siguienteen la medida que el mismo se encuentre en las instalaciones del Proveedor. El Proveedor deberá establecer los mecanismos y procedimientos de identificación, autenticación y control de acceso lógico necesarios para impedir que el personal no autorizado acceda a los elementos de su in- fraestructura y a la Información Protegida de Cepsa y, en particular: a) Dispondrá de procedimientos basados en el compromiso del licitador principio de privilegio mínimo y que tengan en cuenta la necesidad de los subcontratistas ya iden­ tificados de salvaguardar adecuadamente la confidencialidad de toda la información clasificada que posean o que llegue a su conocimiento a lo largo de la duración del contrato uso y des­ pués de la terminación o de la conclusión del contrato, de conformidad con las disposiciones legislativas, reglamenta­ rias y administrativas pertinentes; b) el compromiso del licitador de obtener el compromiso esta­ blecido en la letra a) de los otros subcontratistas a los que subcontrate durante la ejecución del contrato; c) información suficiente sobre los subcontratistas ya identifi­ cados que permita a la entidad o poder adjudicador determi­ nar si cada uno de ellos posee la capacidad necesaria para salvaguardar adecuadamente la confidencialidad de la infor­ mación clasificada a la información cuando autoricen accesos y permisos, de forma que tengan acceso el Personal, sea del Proveedor o que vayan a gene­ rar con motivo de la realización de sus actividades subcontratistas, incluyendo usuarios privile- giados y administradores, acceda únicamente a aquellos datos y recursos que precisen para el desarrollo de subcontratación;sus funciones. db) el compromiso del licitador de presentar la información requerida en la letra c) sobre los nuevos subcontratistas antes de adjudicarles Mantendrá un subcontrato. A falta de armonización a escala comunitaria inventario actualizado de los sistemas nacionales accesos y permisos concedidos y retirará los permisos de acreditación acceso del personal que deje de seguridadtrabajar para cumplir con el alcance del Contrato en un plazo inferior a 24h. Las credenciales se almacenarán y transmitirán siempre encriptadas. Dispondrá de una política y procedimientos que aseguren la fortaleza de las contraseñas y su actualización pe- riódica. Se asegurarán los cambios de las contraseñas en los procesos de instalación de nuevos elementos de hardware o software y, los Estados miembros podrán disponer que en especial, de las medidas y los requisitos a que se refiere el párrafo segundo cumplan con sus disposiciones nacionales en materia de acreditación de seguridad. Los Estados miembros reco­ nocerán las habilitaciones de seguridad que consideren equivalen­ tes a las expedidas de acuerdo con su legislación nacional, a pesar de la posibilidad de llevar a cabo y tener en cuenta ulteriores investigaciones propias si se consideran necesariascontraseñas predeterminadas del Provee- dor.

SEGURIDAD DE LA INFORMACIÓN. Cuando se trate de contratos que supongan el uso de información clasificada, o requieran o comporten tal información, la entidad o el poder adjudicador especificará en la documentación del con­ trato (los anuncios de licitación, el pliego de condiciones, los documentos descriptivos o los documentos de apoyo) las medi­ das y exigencias necesarias El Proveedor deberá establecer procedimientos adecuados para garantizar la protección frente a pérdidas o tratamiento no autorizado de los ficheros, soportes y documentos en papel que contengan información relacio- nada con los servicios, así como su destrucción cuando dejen de ser necesarios para los motivos de su creación. La extracción de datos de un fichero y su depósito en un servidor o su envío por medios electrónicos se consi- deran equiparables a los soportes informáticos en lo que respecta al cumplimiento de estas medidas. Cepsa podrá solicitar información relativa a cualquier tratamiento de Información Protegida realizado por el Proveedor. En estos casos el Proveedor deberá aplicar medidas de seguridad acordes con la sensibilidad de esa la información que contengan. El Proveedor deberá aportar, a requerimiento de Cepsa, evidencias de evaluaciones o auditorías de seguridad o, incluso, permitir, a petición de Cepsa que se lleven a cabo en sus instalaciones de tratamiento de datos o en servicios en la nube, auditorías y/o inspecciones independientes de las medidas de seguridad reguladas por las presentes cláusulas. Dichas auditorías o inspecciones podrán ser realizadas por Cepsa o por una entidad audito- ra aceptada por Cepsa, poniendo en conocimiento del Proveedor el comienzo de las mismas con una antelación mínima de 10 días naturales. Éstas se llevarán a cabo durante las horas normales de funcionamiento de las oficinas del proveedor, y en ningún caso entorpecerá el trabajo que se desarrolle en las mismas. La auditoría no alterará la responsabilidad del Proveedor ni le eximirá del cumplimiento de sus obligaciones bajo los términos del Contrato, comprometiéndose el Proveedor al nivel requeridocumplimiento del posible plan de acción resultante de éstas. A tal En aquellos casos en los que los datos o información relacionada con los servicios sea propiedad de Cepsa o en los que los elementos de la infraestructura sean proporcionados al Proveedor por Cepsa, el Proveedor los pro- cesará y utilizará únicamente para cumplir con sus obligaciones al amparo del Contrato y para ningún otro fin. El Proveedor mantendrá, al menos, las medidas de seguridad técnicas y organizativas consistentes con el tipo de Información Protegida que estén procesando y con los servicios objeto del Contrato, para asegurar la entidad Infor- mación Protegida. Estas medidas implementarán las protecciones aceptadas por la industria que incluirán ga- rantías físicas, electrónicas y procedimentales para proteger la Información Protegida dada por el Proveedor contra cualquier Fallo de Seguridad de Datos o cualquier otro incidente de seguridad, y cualquier requerimiento de seguridad, obligaciones, especificaciones o evento reportable expuestos en el poder adjudicador podrá exigir Contrato. Como parte de estas medidas, el Proveedor ofrecerá un entorno seguro para toda la Información Protegida y para cualquier hardwa- re o software en los que esté contenida la oferta incluyaInformación Protegida (incluyendo servidores, entre otras cosasredes y componentes de datos) que deban ser facilitados o usados por el Proveedor como parte de su cumplimiento del Contrato, lo siguienteen la medida que el mismo se encuentre en las instalaciones del Proveedor. El Proveedor deberá establecer los mecanismos y procedimientos de identificación, autenticación y control de acceso lógico necesarios para impedir que el personal no autorizado acceda a los elementos de su infraestructu- ra y a la Información Protegida de Cepsa y, en particular: a) Dispondrá de procedimientos basados en el compromiso del licitador principio de privilegio mínimo y que tengan en cuenta la necesidad de los subcontratistas ya iden­ tificados de salvaguardar adecuadamente la confidencialidad de toda la información clasificada que posean o que llegue a su conocimiento a lo largo de la duración del contrato uso y des­ pués de la terminación o de la conclusión del contrato, de conformidad con las disposiciones legislativas, reglamenta­ rias y administrativas pertinentes; b) el compromiso del licitador de obtener el compromiso esta­ blecido en la letra a) de los otros subcontratistas a los que subcontrate durante la ejecución del contrato; c) información suficiente sobre los subcontratistas ya identifi­ cados que permita a la entidad o poder adjudicador determi­ nar si cada uno de ellos posee la capacidad necesaria para salvaguardar adecuadamente la confidencialidad de la infor­ mación clasificada a la información cuando autoricen accesos y permisos, de for- ma que tengan acceso el Personal, sea del Proveedor o que vayan a gene­ rar con motivo de la realización de sus actividades subcontratistas, incluyendo usuarios privilegiados y ad- ministradores, acceda únicamente a aquellos datos y recursos que precisen para el desarrollo de subcontratación;sus funciones. db) el compromiso del licitador de presentar la información requerida en la letra c) sobre los nuevos subcontratistas antes de adjudicarles Mantendrá un subcontrato. A falta de armonización a escala comunitaria inventario actualizado de los sistemas nacionales accesos y permisos concedidos y retirará los permisos de acreditación acceso del personal que deje de seguridadtrabajar para cumplir con el alcance del Contrato en un plazo inferior a 24h. Las credenciales se almacenarán y transmitirán siempre encriptadas. Dispondrá de una política y procedimientos que aseguren la fortaleza de las contraseñas y su actualización periódica. Se asegurarán los cambios de las contraseñas en los procesos de instalación de nuevos elementos de hardware o software y, los Estados miembros podrán disponer que en especial, de las medidas y los requisitos a que se refiere el párrafo segundo cumplan con sus disposiciones nacionales en materia de acreditación de seguridad. Los Estados miembros reco­ nocerán las habilitaciones de seguridad que consideren equivalen­ tes a las expedidas de acuerdo con su legislación nacional, a pesar de la posibilidad de llevar a cabo y tener en cuenta ulteriores investigaciones propias si se consideran necesariascontraseñas predeterminadas del Proveedor.