PROGRAMA 1- REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
PROGRAMA 1- REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
1. Gestión de la seguridad de la información - Aspectos generales
1.1 El Proveedor prestará todos los servicios que utilizan tecnologías, técnicas y medidas de seguridad de acuerdo con las prácticas recomendadas del sector y, cuando proceda, con los principios de la norma ISO27001.
1.2 El Proveedor deberá, en todo momento durante la vigencia de este Contrato, contar con una persona (y un suplente) responsable de garantizar el cumplimiento por parte del Proveedor de los requisitos establecidos en el presente Contrato ("Security Manager").
1.3 Durante la vigencia de este Contrato, el Proveedor aplicará y mantendrá un sistema de gestión de la seguridad de la información que cumpla los requisitos de las prácticas de seguridad recomendadas y que incluya:
a) Una declaración de alcance (que abarque todos los servicios prestados en virtud de este Contrato).
b) Una evaluación de riesgos (que incluya, en caso necesario, los riesgos específicos para los Servicios).
c) Una declaración de aplicabilidad (que compartirá y acordará con RS con antelación a la entrada en vigor del presente Contrato).
d) Un plan de tratamiento de riesgos (que compartirá y acordará con RS con antelación a la entrada en vigor del presente Contrato).
e) Un plan de gestión de incidentes ("Sistema de gestión de la seguridad de la información").
1.4 El Proveedor deberá disponer de un documento de seguridad en vigor (que deberá actualizar periódicamente) en el que se establezcan los procedimientos y medidas de seguridad que el Proveedor haya implementado para prestar los servicios. En dicho documento se deberá describir, como mínimo: (i) las instalaciones utilizadas; (ii) las funciones y obligaciones del personal; (iii) un análisis de los riesgos; (iv) los sistemas gestionados y mantenidos por el Proveedor; (v) el procedimiento para identificar, notificar, gestionar y responder ante incidentes, incluidos aquellos que se produzcan fuera del horario; y (vi) la identidad del Security Manager.
2. Controles de acceso (al entorno de sistemas de RS)
2.1 Cuando se conceda al Proveedor acceso al entorno de sistemas de RS, el Proveedor solo accederá desde una serie de direcciones de red de Proveedor designadas y preacordadas. Queda totalmente prohibido el acceso que no sea estrictamente necesario para cumplir las obligaciones del Contrato. Las limitaciones y los controles de acceso utilizados para acceder al entorno de sistemas de RS se determinarán a discreción de RS. El Proveedor mantendrá las credenciales de autenticación (incluidas contraseñas, certificados, tokens y datos biométricos) que permiten acceder al entorno de sistemas de RS en estricta confidencialidad y adecuadamente protegidas, y no las transmitirá a terceros ni a ningún empleado del Proveedor que no esté autorizado por escrito por RS a los efectos del presente Contrato.
2.2 Todos los empleados del Proveedor que accedan al entorno de sistemas del Proveedor dispondrán de acceso autorizado mediante procesos formalmente definidos y aprobados de acuerdo con las prácticas de seguridad recomendadas. A dichos empleados se les asignará un identificador único para su uso personal y exclusivo, y el Proveedor se asegurará de que las actividades de los empleados puedan ser rastreadas hasta la persona responsable. El Proveedor no debe reasignar a ninguna otra persona un identificador de usuario emitido para una persona concreta. Está prohibido compartir identificadores de usuario.
2.3 El Proveedor mantendrá un registro formal de todo el personal autorizado para acceder a los entornos de sistemas de RS, el cual se revisará periódicamente (al menos trimestralmente) y facilitará a RS una copia del registro previa solicitud. El Proveedor eliminará inmediatamente, o solicitará a RS que elimine, los derechos de acceso de cualquier persona que no necesite acceder al entorno de sistemas de RS o al entorno de sistemas del Proveedor a los efectos de este Contrato. Dicha medida incluirá (entre otras) la desactivación o eliminación de la cuenta de usuario correspondiente, el vencimiento automático de la cuenta al finalizar el contrato de empleo de cualquier empleado y la desactivación de cualquier cuenta de usuario que haya estado inactiva durante un periodo de 90 días, salvo que RS haya dado su aprobación previa por escrito para que dicha cuenta permanezca activa. El Proveedor mantendrá un registro formal de los controles realizados y dichos controles se realizarán al menos una vez al año.
2.4 Las contraseñas utilizadas para conectarse al entorno de sistemas de RS no tendrán una longitud inferior a 10 caracteres y deberán incluir al menos una letra en mayúscula, un número y un carácter especial (es decir, un carácter no alfabético ni numérico). Está prohibido utilizar caracteres numéricos y alfabéticos idénticos consecutivos (p. ej., 987654, HIJKLMNO). Las contraseñas se cambiarán a intervalos regulares y al menos cada 90 días. Las contraseñas que se hayan utilizado en cualquier momento durante los 12 meses anteriores no se podrán volver a utilizar.
3. Acceso físico a las instalaciones
3.1 El Proveedor deberá:
a) mantener mecanismos adecuados de control de acceso físico para evitar accesos no autorizados a las instalaciones del Proveedor, de conformidad con las prácticas de seguridad recomendadas;
b) establecer y aplicar mecanismos de control de acceso físico para impedir que cualquier persona entre en zonas en las que no está autorizada a entrar;
c) garantizar que los mecanismos de control de acceso físico de las instalaciones del Proveedor en salas de comunicaciones, salas de servidores o en cualquier otra sala que proporcione conectividad o transporte para los materiales de RS, impidan que personas no autorizadas ni otras personas puedan entrar en estos lugares, y asegurarse de que:
i) el acceso a los puntos de entrada de los centros de datos se efectuará mediante autenticación exclusiva de la persona que accede al lugar (es decir, no se permite compartir códigos PIN ni claves); y
ii) solo podrán acceder a los puntos de entrada a otros lugares quienes estén autorizados a acceder a ellos por motivos profesionales;
d) garantizar que los puntos de entrada y salida de las instalaciones del Proveedor, los centros de datos y las salas de servidores estén controlados por sistemas de CCTV (de manera ininterrumpida). Las imágenes del CCTV se conservarán durante un mínimo de 30 días;
e) asegurarse de que cualquier tercero que tenga que acceder para realizar tareas de mantenimiento o asistencia en cualquier equipo que esté directa o indirectamente involucrado en la prestación de los Servicios registre su entrada y salida de las instalaciones del Proveedor, incluidos el motivo de su visita y el miembro responsable del personal del Proveedor, y vaya acompañado por el miembro responsable del personal del Proveedor en todo momento;
f) garantizar el mantenimiento de registros de acceso a los centros de datos del Proveedor y que dichos registros se conserven durante al menos 6 meses;
g) garantizar que las ubicaciones del centro de datos y de la sala de servidores estén construidas con paredes de suelo a techo y sin ventanas o, en caso de tener ventanas, que sean opacas y estén protegidas con rejas o barras adecuadas que impidan el acceso físico al lugar; y
h) garantizar que las puertas contraincendios de los perímetros de seguridad de las instalaciones del centro de datos y la sala de servidores del Proveedor estén provistas de alarmas, cierres y funcionamiento a prueba de fallos.
4. Equipos del Proveedor
4.1 Todos los controles de seguridad de la información relativos al desarrollo, la construcción, la configuración, la implementación, el funcionamiento, la gestión de cambios, el mantenimiento y la asistencia de todas las tecnologías relacionadas con el entorno de sistemas del Proveedor se ajustarán a las prácticas de seguridad recomendadas.
4.2 El Proveedor deberá garantizar que todos los sistemas de su entorno de sistemas o con acceso al entorno de sistemas de RS tengan instalado un software antimalware adecuado y actualizado, de acuerdo con las prácticas de seguridad recomendadas. Las actualizaciones del software antimalware deberán aplicarse en el momento que las publique su proveedor y el software se configurará para que realice, como mínimo, un control diario programado y un control en el momento de acceso. Se implementará un cortafuegos y un software de detección de intrusos en la red para controlar y vigilar las conexiones al entorno de sistemas del Proveedor desde Internet o desde otras redes.
4.3 Los dispositivos (incluidos PC, ordenadores portátiles y servidores) que se empleen para acceder, mantener o procesar materiales o dispositivos de RS que se utilizan para reparar o mantener sistemas que contienen o procesan materiales de RS deben:
a) garantizar que las sesiones o pantallas de la interfaz de usuario se bloqueen automáticamente tras un breve periodo de inactividad (máximo 10 minutos) y exijan el uso de una contraseña u otra credencial de autenticación para su desbloqueo;
b) tener instaladas todas las actualizaciones y los parches del sistema operativo y del software inmediatamente después de su publicación por parte del proveedor;
c) realizar un registro y una examen de todos los intentos de inicio de sesión, tanto fallidos como correctos; dichos registros se conservarán durante al menos 90 días, salvo que la frecuencia de los eventos de seguridad y las restricciones sobre el tamaño de archivo razonable reduzcan este periodo de retención durante un periodo específico.
4.4 El Proveedor deberá garantizar que los materiales de RS obtenidos del entorno del sistema de producción de RS o relacionados con clientes o personal de RS solo se almacenarán y procesarán en el entorno de los sistemas de producción del Proveedor.
4.5 El Proveedor deberá implementar un proceso formal de gestión de cambios que garantice que los cambios realizados en el entorno de sistemas del Proveedor sean aprobados antes de su implementación.
5. Personal del Proveedor
5.1 El Proveedor se asegurará de que todo el personal que participe en la prestación de los Servicios ha sido objeto de controles para determinar la conformidad de seguridad pertinente en relación con los Servicios prestados a la Empresa. Los controles pueden incluir (entre otros):
a) verificación de los puestos de trabajo desempeñados durante los tres años anteriores. Si no existiera dicho historial de empleo anterior, podrán verificarse dos referencias profesionales en su lugar;
b) confirmación de cualificaciones académicas y profesionales;
c) comprobación de antecedentes delictivos; y
d) comprobación de la identidad y del derecho al empleo (por ejemplo, mediante un pasaporte o un certificado de nacimiento).
El Proveedor mantendrá registros completos de los controles realizados a cada persona.
5.2 Cada persona que participe en la prestación de los Servicios deberá ser designada individualmente y firmará un acuerdo de confidencialidad y no divulgación relativo a la protección del acceso y la seguridad de los datos. El Proveedor también deberá facilitar a la persona información sobre el alcance de las actividades que se le permite llevar a cabo en función del perfil de autorización correspondiente.
5.3 El Proveedor mantendrá una lista de las personas designadas para realizar los servicios, incluidas sus funciones. Dicha lista se mantendrá actualizada en todo momento y se pondrá a disposición de un representante de RS previo aviso.
5.4 El Proveedor designará a un Security Manager que garantice el cumplimiento de las medidas de seguridad.
6. Cifrado
6.1 El Proveedor se asegurará de que:
a) se apliquen controles técnicos (controles automáticos de cifrado de datos para portátiles y soportes USB extraíbles) o de procedimiento (políticas y concienciación de usuarios) en todos los dispositivos portátiles (como ordenadores portátiles y tablets) y soportes extraíbles (como CD, DVD, dispositivos USB y cintas de copia de seguridad) que contengan materiales de RS, de acuerdo con las normas de cifrado de las prácticas de seguridad recomendadas, o de otras normas, tal y como se acuerde por escrito entre el Proveedor y RS;
b) los materiales de RS que se transfieran electrónicamente fuera del entorno de sistemas del Proveedor, o a través de una red pública, se cifran utilizando métodos seguros de cifrado cuando dichas transferencias las inicie el Proveedor. Las credenciales de descifrado (incluidas contraseñas y claves) no deben compartirse a través del canal utilizado para la transferencia de los propios materiales.
6.2 Los mecanismos de cifrado deben cumplir las normas de cifrado de acuerdo con las prácticas de seguridad recomendadas. No deben utilizarse las funciones de cifrado que ofrecen los programas de ofimática (como Microsoft Office y Adobe Acrobat) para proteger los materiales de RS, a menos que se acuerde específicamente por escrito con RS.
7. Incidentes de seguridad
7.1 El Proveedor deberá comunicar con prontitud a RS y en un plazo máximo de 24 horas de la sospecha cualquier riesgo conocido o previsto relacionado con la información, o cualquier otro incidente relacionado con la seguridad de la información y que pueda afectar directa o indirectamente a RS, su personal, su entorno de sistemas, sus materiales, instalaciones, procesos, operaciones o reputación.
7.2 Las investigaciones formales de los incidentes de seguridad que afecten al personal, la información o el entorno de sistemas del Proveedor se llevarán a cabo de acuerdo con las prácticas de seguridad recomendadas.
7.3 El Proveedor creará un registro de incidentes (tipo, fecha y personas implicadas) e informará inmediatamente a RS de los incidentes de importancia crítica (es decir, incidentes que puedan, incluso hipotéticamente, haber expuesto datos personales a un tratamiento no autorizado o que puedan, incluso hipotéticamente, tener un impacto adverso en los datos personales). Dicho registro debe estar a disposición de RS en todo momento.
8. Pruebas de penetración, auditoría y conformidad
8.1 Si el entorno de sistemas del Proveedor está conectado a Internet o a otras organizaciones o redes (incluido el entorno de sistemas de RS), el Proveedor realizará una prueba de penetración de seguridad para comprobar la seguridad del sistema al menos una vez al año y con motivo de cualquier cambio importante en el entorno de sistemas del Proveedor que pueda afectar a la seguridad del entorno de sistemas del Proveedor.
8.2 El Proveedor realizará auditorías de seguridad basadas en riesgos de su entorno de sistemas al menos una vez al año y en caso de realizar numerosos cambios importantes en su entorno de sistemas.
8.3 Si el Proveedor presta un servicio de desarrollo de código para RS, el Proveedor deberá seguir las prácticas de seguridad recomendadas para el desarrollo de código.
9. PCI DSS
9.1 En el caso de que alguna parte de los Servicios prestados en virtud de este Contrato requiera que el Proveedor obtenga, almacene o procese datos de tarjetas de pago contemplados en la normativa PCI DSS, el Proveedor:
a) lo hará de conformidad con las últimas normas de seguridad de datos del sector de las tarjetas de pago que el PCI Standards Council establece periódicamente, cuyos detalles pueden consultarse en xxx.xxxxxxxxxxxxxxxxxxxx.xxx ("PCI DSS") en la medida en que la normativa PCI DSS se les aplique en virtud de dicha transferencia, almacenamiento o conexión;
b) restringirá la revelación de la información de las tarjetas de pago a aquellos empleados que necesiten conocerla para poder cumplir sus obligaciones en virtud de este Contrato;
c) garantizará que cumple y seguirá cumpliendo la normativa PCI DSS, e indemnizará a RS y a cualquier empresa del grupo RS por cualquier multa, gravamen o sanción que se les imponga debido al incumplimiento de las normas PCI DSS por parte de cualquier tribunal, marca de medios de pago, agrupador de pagos o emisor de tarjetas; y
d) facilitará a RS, previa petición, un resumen de análisis de deficiencias, informe QSA o plan de acción de reparación que demuestre su cumplimiento de la normativa PCI DSS.
9.2 Para disipar todas las dudas, el Proveedor solo realizará dicha transferencia o almacenamiento cuando sea razonablemente necesario para prestar la parte correspondiente de los Servicios.