El present document estableix les polítiques i directrius que han de regir per a la contractació, operació i supervisió dels proveïdors que proporcionen serveis amb tractament de la informació a Ediversa Group. Entre altres, aplica a aquells proveïdors que:
- • Prestin serveis que impliquin la custòdia d'informació al seu càrrec.
• Prestin serveis al núvol. En aquest àmbit es contemplen les diferents varietats de serveis al núvol. Principalment es contemplen:
- IaaS (Infraestructure as a Service): Servei que proporciona l'ús al núvol de recursos, físics i virtuals, com màquines virtuals, tallafocs, sistemes d'emmagatzematge o balancejadors de càrrega, entre d’altres.
El proveïdor lloga la infraestructura i atorga al client el control gairebé total sobre ella. Així, és possible garantir l'accés als recursos de computació —com el processador, memòria RAM, disc dur…— i a les estructures de xarxa integrades —firewalls, encaminadors, sistemes de seguretat i còpia de seguretat— en funció de les necessitats.
- o CaaS (Container as a Service): Servei mitjançant el qual es pot disposar de contenidors a demanda sense necessitat de preocupar-se per la infraestructura que hi hagi per sota.
- o PaaS (Platform as a Service):Servei que proporciona plataformes i entorns tecnològics al núvol en el qual els usuaris poden desenvolupar, executar i administrar aplicacions sense preocupar-se per la infraestructura que hi hagi per sota.
Aquestes aplicacions i serveis es poden crear gràcies a les eines que proporciona el proveïdor, per exemple, mitjançant funcionalitats preconfigurades per subscripció que permetin al client triar quins utilitzarà, tal com, per exemple: sistema operatiu, sistema de gestió de base de dades, programari de servidor, suport tècnic, emmagatzematge, hosting o eines de disseny i desenvolupament, a més d'accés a la xarxa.
- o SaaS (Software as a Service): El servei permet l'ús d'una aplicació final a la qual es pot accedir a través d'Internet. Es paga una quota i es pot accedir a la seva aplicació des de qualsevol lloc.
L'aplicació es pot utilitzar immediatament, sense necessitat d'instal·lar res, de fer cap desplegament, ni de portar el seu manteniment. Tot és gestionat pel proveïdor del servei: aplicacions, sistema en temps d'execució, dades, middleware, sistemes operatius, virtualització, servidors, emmagatzematge, xarxes…
- IaaS (Infraestructure as a Service): Servei que proporciona l'ús al núvol de recursos, físics i virtuals, com màquines virtuals, tallafocs, sistemes d'emmagatzematge o balancejadors de càrrega, entre d’altres.
El fet que part de la informació estigui en mans d'un proveïdor i, per tant, haver delegat la gestió de determinats elements dels sistemes d'informació d’Ediversa Group, no implica que s'hagin de relaxar les exigències establertes per les polítiques de seguretat de la informació d’Ediversa Group. S'ha de tenir especial cura a disposar de garanties que es continuen respectant aquestes polítiques.
Per tant, s'ha de realitzar una adequada avaluació de riscos per a la seguretat de la informació abans d'utilitzar els serveis d'un proveïdor, valorant que tots els ordinadors, nostres o d'un proveïdor, estan subjectes a les mateixes amenaces.
En conseqüència, l'aplicació de les mesures detallades a continuació ha de ser contrastada amb l'estimació dels riscos identificats en l'ús dels serveis prestats pel proveïdor que puguin afectar.
De manera orientativa, es distingeixen els següents tipus de proveïdors:
| TipUS | TraCtament | GarantIEs requeridEs |
|---|---|---|
| Tipus A | Únicament tenen accés a la informació, pero únicament mitjançant els mitjans d’Ediversa Group. No accedeix, tracta o emmagatzema informació en sistemes o equips sota responsabilitat del proveïdor | • • Compromís de confidencialitat de les persones que accedeixen a la informació. |
| Tipus B | Té accés a la informació d’Ediversa Group i poden disposar de còpies de la informació emmagatzemada en els seus equips propis i sistemes per al seu processament.
| • Compromís de confidencialitat de les persones que accedeixen a la informació. • Control d'accés als equips i instal·lacions en els quals s'emmagatzema o processa la informació. • Seguretat en les comunicacions. |
| Tipus C | Tenen accés a la informació i es requereix del proveïdor que conservi la informació per compte d’Ediversa Group durant el temps establert en l'acord entre totes dues parts. | • Compromís de confidencialitat de les persones que accedeixen a la informació. • Control d'accés als equips i instal·lacions en els quals s'emmagatzema o processa la informació. • Seguretat en les comunicacions. • Integritat de la informació. • Disponibilitat de la informació. • Resiliència dels sistemes de tractament. |
| Tipus D | El proveïdor proporciona infraestructures o serveis necessaris per al tractament, però no té accés a la informació d’Ediversa Group (p. ex. centre de dades, comunicacions, IaaS/PaaS, …). | • Control d'accés als equips i instal·lacions en els quals s'emmagatzema o processa la informació. • Protecció física de l'emplaçament. • Disponibilitat dels serveis. • Resiliència dels sistemes de tractament. |
Així mateix, es tindran en compte si hi ha un tractament de dades personals a fi de determinar les garanties necessàries com a encarregat del tractament.
Mesures de seguretat requerides
És necessari conèixer les polítiques de seguretat de la informació de tots els proveïdors que presten serveis que impliquen el tractament i/o custòdia de la informació d’Ediversa Group o els nostres clients. Ediversa Group debe aplicar el proceso de evaluación de proveedores que implica la revisión periódica del cumplimiento de las garantías de nivel de servicio (SLA) acordadas y el cumplimiento de los requisitos de los servicios establecidos. Ediversa Group requereix dels seus proveïdors, i especialment aquells que presten serveis al núvol, que eliminin qualsevol informació que tractin una vegada s'acorda el cessament del servei. Aquesta política s'aplica a tota la informació que es processa en virtut del servei prestat, ja sigui pròpia d’Ediversa Group o dels nostres clients, i ha d'incloure:MESUREs generals Certificació i homologació Tots els proveïdors que prestin serveis que impliquin el tractament d'informació d’Ediversa Group i dels nostres clients en les seves instal·lacions, han de disposar de certificacions ISO 27001 o equivalents.
En el cas particular de proveïdors de serveis i infraestructura de tractament de la informació al núvol (SaaS, IaaS, PaaS), les certificacions ISO27001 o equivalents han de cobrir en el seu abast els serveis prestats a Ediversa Group.
En cas de no disposar d'aquestes certificacions, el procés d'homologació implica la verificació de l'existència de garanties equivalents adequades als riscos identificats i, fins i tot, la possibilitat de respondre a auditories de terceres parts per a verificar l'acompliment de les garanties aportades.Confidencialitat Tots els nostres proveïdors han de signar compromisos de confidencialitat i acords de no divulgació (NDA) per a protegir el secret de la informació d’Ediversa Group i dels nostres clients. Polítiques de seguretat de la informació
S'haurà de validar que aquestes polítiques són compatibles amb els requisits establerts al Sistema de Gestió de la Seguretat de la Informació d’Ediversa Group i, per tant, cobreixen els riscos que han d'estar controlats.Avaluació dels serveis
En particular, Ediversa Group debe evaluar el cumplimiento de las disposiciones contempladas en esta política, en consonancia con los riesgos apreciados.
Assegurament de la cadena de subministramentLa política d’Ediversa Group és la de garantir la continuïtat dels nostres serveis mitjançant la diversificació i redundància de proveïdors. Cessament de servei
• Els procediments de fi de servei que cobreixin l'eliminació i/o devolució d'actius en donar de baixa el servei.
• L'eliminació de totes les còpies de les dades (excepte còpies de seguretat pròpies del proveïdor).
• La definició dels terminis per a les diferents operacions de finalització del servei.
| MeESUREs generals | |
|---|---|
| Segregació d'entorns | Ediversa Group requereix dels seus proveïdors, i especialment aquells que presten serveis al núvol, que garanteixin la segregació dels entorns virtuals de processament de la informació, amb garanties d'estanquitat de l'accés als diferents entorns i de la capacitat de servei. |
| SegurETAT física dels centrEs de traCtament | |
|---|---|
| Seguretat Física | Els proveïdors han de proporcionar garanties respecte a les mesures de seguretat física als seus centres de dades cobrint aspectes com ara: • Perímetre de seguretat física per a protegir les àrees que contenen informació sensible, així com els recursos de tractament de la informació. • Les àrees segures han d'estar protegides mitjançant controls d'entrada adequats, per assegurar que únicament es permet l'accés al personal autoritzat. • S'aplica una protecció física contra desastres naturals, atacs provocats per l'home o accidents • Existeixen procediments per treballar en les àrees segures. |
| Instal·lacions de subministrament | Els proveïdors han de proporcionar garanties respecte a les mesures que han adoptat per evitar interrupcions del servei degudes a la fallada en les instal·lacions de subministrament, especialment fallades d'alimentació elèctrica. |
| Redundància de xarxes de telecomunicacions | Els proveïdors han de proporcionar garanties respecte a la disponibilitat dels serveis d'accés a xarxes de telecomunicacions tals com: • Redundància de punts d'accessos a la xarxa • Redundància d'operadors |
| SegurETAT de XARXA | |
|---|---|
| Supervisió continuada | Els proveïdors han de garantir la supervisió 24x7 de la xarxa que permeti donar resposta a incidents.
|
| Protecció perimetral | Especialment en el cas de serveis IaaS, els sistemes de protecció de la xarxa han d'incloure mesures per garantir que els accessos als recursos utilitzats per Ediversa Group estan protegits enfront d'amenaces.
|
| Mitigació de vulnerabilitats i amenaces de xarxa | El proveïdor ha de proporcionar garanties que aplica una política activa de detecció i mitigació de les vulnerabilitats que existeixen a la xarxa, i mesures proactives per identificar i prevenir noves amenaces que puguin afectar la seguretat dels serveis. |
| Facilitats per a proves de penetració | En el cas de serveis IaaS, el proveïdor ha de facilitar que Ediversa Group pugui executar proves de penetració als seus sistemes i aplicacions. |
| Mitigació DDoS | El proveïdor ha de proporcionar garanties que ha adoptat les mesures necessàries per a mitigar atacs que afectin la disponibilitat dels serveis, tals com DDoS. |
| Xifrat de dades en trànsit | Tota la informació en trànsit que es transmet a través d’Internet per accedir als serveis del proveïdor ha d’estar xifrada, utilitzant les versions més recents i segures dels protocols. |
| Segregació a xarxes | El proveïdor ha de proporcionar garanties o mecanismes per a garantir un canal de comunicació segregat per a accedir als serveis cloud, per exemple, una VPN o canals SSH garantits. |
| Control d'accÉs | |
|---|---|
| Accés als serveis | El servei ha de proporcionar controls per assegurar que els usuaris només tenen accés als serveis per als que han estat especialment autoritzats a usar. En especial, l’accés als serveis he de permetre regular els privilegis d’accés d’acord amb una política de rols, que permeti delimitar els serveis als que pot accedir cada usuari. |
| Alta i baixa d'usuaris | Sempre que sigui possible, el servei ha de permetre la identificació unívoca dels usuaris del servei, evitant l'ús del servei mitjançant unes úniques credencials compartides.
|
| Comptes d’accés privilegiat | Sempre que sigui possible, s'haurà d'evitar l'ús de comptes compartits amb privilegis d'administració (per exemple “admin”).
|
| Accés a les dades per part del proveïdor | En el cas que el tipus de servei requereixi que el proveïdor pugui tenir accés a les dades dels serveis (per exemple, la configuració en serveis SaaS), ha de disposar de mecanismes per accedir amb les seves pròpies credencials, sense necessitat que els usuaris d’Ediversa Group hagin de comunicar i comprometre el secret de les seves credencials d'accés. |
| Protecció enfront atacs d’autenticació | Els serveis han de proporcionar mecanismes per prevenir i mitigar els atacs de força bruta que puguin comprometre l'autenticació de l'accés als serveis.
|
| Assignació secreta de contrasenyes | Especialment en el cas de serveis SaaS, el servei ha de proporcionar un procediment que garanteixi el secret de les contrasenyes assignades.
|
| Sistema de gestió de contrasenyes | És recomanable que els serveis comptin amb sistemes de gestió de contrasenyes que facilitin el compliment de les polítiques de contrasenyes segures d’Ediversa Group, tal com controls relatius a la longitud i complexitat d'aquestes. |
| Accés mitjançant API | En el cas que el servei permeti l'accés mitjançant APIs de programació, l'accés ha d'estar protegit de manera que:
|
| Operacions de segurETAT | |
|---|---|
| Supervisió i gestió de la capacitat | Especialment en el cas de serveis IaaS, Ediversa Group ha de tenir la capacitat de supervisió dels sistemes i gestió de la capacitat, per monitorar de manera continuada l'acompliment dels sistemes, supervisar l'ús dels recursos i ajustar la utilització dels recursos, així com realitzar projeccions dels requisits futurs de capacitat, per garantir el rendiment requerit dels sistemes. |
| Resposta a Incidents de seguretatde la informació | El proveïdor ha de disposar de mecanismes per a comunicar de manera immediata i efectiva qualsevol incident de seguretat de la informació que suposi un risc per a la seguretat dels serveis i dades d'Ediversa Group. Per a això: • El proveïdor ha d'informar adequadament dels incidents que afecten el servei. • Ediversa Group deu està informada dels procediments i canals del proveïdor per informar i realitzar el seguiment dels incidents. • El proveïdor informa proactivament de possibles amenaces que poden suposar possibles incident de seguretat de la informació. • En les condicions del servei s'han d'haver identificat les responsabilitats en cas d'incident o per tipus d'incident. |
| Gestió de canvis | El proveïdor ha de proporcionar informació prèvia dels canvis que realitzi.
|
| Registres d'auditoria | El servei proporcionat ha de permetre el registre d'auditoria (logs) dels esdeveniments que siguin necessaris d'acord amb l'apreciació de riscos del servei.
|
| Vulnerabilitats tècniques | El proveïdor ha de proporcionar informació puntual i efectiva sobre les vulnerabilitats tècniques detectades.
|
| Protecció enfront a malware | Especialment en el cas de serveis SaaS, el proveïdor ha d'incloure mecanismes per a protegir la informació al seu càrrec enfront de:
|
| DisponibiliTAT I continuÏTAT | |
|---|---|
| Disponibilitat | S'han d'establir objectius de disponibilitat dels serveis en els acords de nivell de servei (SLA) que s'acorden amb el proveïdor.
|
| Redundància | Especialment en el cas de serveis IaaS, el proveïdor ha de proporcionar informació sobre les mesures de redundància dels sistemes més crítics que puguin afectar el servei, especialment connexions de xarxa i serveis d'alimentació elèctrica.
|
| Còpies de Seguretat del Proveïdor | Especialment en el cas de serveis SaaS, el proveïdor ha de garantir que es realitzen còpies de seguretat de manera periòdica i d'acord amb els objectius establerts en els acords de nivell de servei.
|
| Còpies de seguretat addicionals | Confiar únicament en les còpies de seguretat del proveïdor comporta riscos que han de ser valorats, havent de preveure esdeveniments tal com la discontinuïtat del servei prestat pel proveïdor, un incident greu que repercuteixi en una interrupció prolongada dels serveis, o la mateixa continuïtat del proveïdor en el mercat.
|
| Seguretat dels recursos humans | |
|---|---|
| Responsabilitats | Per a cada servei contractat per Ediversa Group hi ha d'haver un responsable d'aquest a càrrec de la verificació del compliment d'aquestes polítiques, l'avaluació de riscos per a la seguretat de la informació, la determinació de les mesures tècniques i organitzatives necessàries per a mitigar els riscos, i la supervisió de l'acompliment dels controls implantats. |
| Responsabilitats del personal del proveïdor | El proveïdor ha de proporcionar garanties conforme a que el seu personal coneix les seves responsabilitats i obligacions quant a la confidencialitat i seguretat de la informació en general, i està adequadament format i capacitat per aplicar les mesures tècniques i organitzatives necessàries. |
| Incompliments per part del personal del proveïdor | S'ha de contemplar el cas que es produeixi un incompliment de les obligacions de seguretat de la informació per part del personal del proveïdor.
|
| Formació i conscienciació del personal | Tot el personal que utilitzi serveis al núvol ha de ser format en l'ús d'aquests, incloent: • Estàndards i procediments per a l'ús dels serveis al núvol • Riscos associats a l'ús d'aquests serveis • Consideracions legals i reguladores |
| Protecció de daDES personals | |
|---|---|
| Política de privacitat | S'ha de conèixer la Política de Privacitat que aplica al tractament de les dades de les quals és responsable Ediversa Group. Aquesta política ha d'incloure la informació sobre les finalitats i legitimitat dels tractaments, les categories de dades tractades, els criteris de conservació de les dades, les possibles comunicacions o cessions de dades, i el procediment perquè els interessats puguin exercir els seus drets. |
| Encàrrec de tractament | És necessari disposar d'acords per encàrrec de tractament de dades personals (DPA) amb tots els proveïdors que presten serveis que impliquen el tractament en les seves instal·lacions de dades personals de les quals són responsables Ediversa Group o els nostres clients.
Els acords per encàrrec de tractament han d'aportar garanties perquè Ediversa Group pugui avaluar el compliment dels compromisos adquirits i que els riscos identificats per al tractament de dades personals han estat coberts. |
| Complimiento normatiu | Els proveïdors d'Ediversa Group han de complir la legislació de protecció de dades d'acord amb el Reglament (UE) 2016/679 de Protecció de Dades Personals (RGPD).
Així mateix, s'ha de verificar que el tractament delegat en aquests proveïdors no posa en risc cap disposició addicional establerta a la Llei 3/2018, de 5 de desembre de Protecció de Dades de Caràcter Personal i Garantia de Drets Digitals (LOPD-GDD). |
| Transferències internacionals de dades | Si la prestació dels serveis per part del proveïdor implica el tractament de les dades personals en ubicacions fora de l'Espai Econòmic Europeu, s'haurà d'assegurar que es realitza únicament quan els països ofereixen un nivell adequat de protecció o, en el cas d'entitats als EUA que estiguin certificades en el marc de l'Escut de Privacitat UE-EUA Decisió (UE) 2016/1250 de la Comissió, de 12 de juliol de 2016. |
| COmpliment legal | |
|---|---|
| Jurisdicció dels tractaments | S'ha de valorar l'impacte que pot suposar que la legislació aplicable pugui ser la del proveïdor del servei, quan aquesta sigui diferent de la pròpia d'Ediversa Group.
Així mateix, s'haurà de valorar el compliment per part del proveïdor de la jurisdicció pròpia d'Ediversa Group.
Sempre que sigui possible, s'haurà de procurar contractar els serveis de proveïdors per als quals, en cas de disputa, puguin ser competents els tribunals de la UE. |
| Propietat intel·lectual | Els acords de servei que vinculen als nostres proveïdors han d'incloure clàusules que garanteixin el respecte als drets intel·lectuals d'Ediversa Group.
Així mateix, ha de quedar establerta la immunitat d'Ediversa Group respecte a qualsevol incompliment de la protecció de drets intel·lectuals per part del proveïdor.
Per part seva, Ediversa Group ha d'establir mecanismes per a protegir els drets intel·lectuals de tercers, respectant els termes de les llicències d'ús per a tot el programari que utilitza per a prestar els seus serveis. |