El presente documento establece las políticas y directrices que deben regir para la contratación, operación y supervisión de los proveedores que proporcionan servicios con tratamiento de la información a Ediversa Group.
Entre otros, aplica a aquellos proveedores que:
- Presten servicios que impliquen la custodia de información a su cargo.
- Presten servicios en la nube, En este ámbito se contemplan las diferentes variedades de servicios en la nube. Principalmente se contemplan
- IaaS (Infraestructure as a Service): Servicio que proporciona el uso en la nube de recursos, físicos y virtuales, como máquinas virtuales, cortafuegos, sistemas de almacenamiento o balanceadores de carga, entre otros.
- CaaS (Container as a Service): Servicio mediante el cual se puede disponer de contenedores a demanda sin necesidad de preocuparse por la infraestructura que haya por debajo.
- PaaS (Platform as a Service): Servicio que proporciona plataformas y entornos tecnológicos en la nube en la que los usuarios pueden desarrollar, ejecutar y administrar aplicaciones sin preocuparse por la infraestructura que haya por debajo.
- SaaS (Software as a Service): El servicio permite el uso de una aplicación final a la que se puede acceder a través de Internet. Se paga una cuota y se puede acceder a su aplicación desde cualquier sitio.
- PaaS (Platform as a Service): Servicio que proporciona plataformas y entornos tecnológicos en la nube en la que los usuarios pueden desarrollar, ejecutar y administrar aplicaciones sin preocuparse por la infraestructura que haya por debajo.
- CaaS (Container as a Service): Servicio mediante el cual se puede disponer de contenedores a demanda sin necesidad de preocuparse por la infraestructura que haya por debajo.
- IaaS (Infraestructure as a Service): Servicio que proporciona el uso en la nube de recursos, físicos y virtuales, como máquinas virtuales, cortafuegos, sistemas de almacenamiento o balanceadores de carga, entre otros.
- Presten servicios en la nube, En este ámbito se contemplan las diferentes variedades de servicios en la nube. Principalmente se contemplan
La aplicación se puede utilizar inmediatamente, sin necesidad de instalar nada, de hacer ningún despliegue, ni de llevar su mantenimiento. Todo está gestionado por el proveedor de servicio: aplicaciones, sistema en tiempo de ejecución, datos, middleware, sistemas operativos, virtualización, servidores, almacenamiento, redes…
El hecho de que parte de la información esté en manos de un proveedor y, por tanto, haber delegado la gestión de determinados elementos de los sistemas de información de Ediversa Group, no implica que se deban relajar las exigencias establecidas por las políticas de seguridad de la información de Ediversa Group. Se debe tener especial cuidado en disponer de garantías de que se siguen respetando estas políticas.
Por tanto, se debe realizar una adecuada evaluación de riesgos para la seguridad de la información antes de utilizar los servicios de un proveedor, valorando que todos los ordenadores, nuestros o de un proveedor, está sujetos a las mismas amenazas.
En consecuencia, la aplicación de las medidas detalladas a continuación debe ser contrastada con la estimación de los riesgos identificados en el uso de los servicios prestados por el proveedor que le puedan afectar.
De modo orientativo se distinguen los siguientes tipos de proveedores:
| Tipo | Tratamiento | Garantías requeridas |
|---|---|---|
| Tipo A | Únicamente tienen acceso a la información, pero únicamente mediante los medios de Ediversa Group. No accede, trata o almacena información en sistemas o equipos bajo responsabilidad del proveedor | Compromiso de confidencialidad de las personas que acceden a la información. |
| Tipo B | Tiene acceso a la información de Ediversa Group y pueden disponer de copias de la información almacenada en sus equipos propios equipos y sistemas para su procesamiento. No se requiere del proveedor que conserve la información. |
|
| Tipo C | Tienen acceso a la información y se requiere del proveedor que conserve la información por cuenta de Ediversa Group durante el tiempo establecido en el acuerdo entre ambas partes. |
|
| Tipo D | El proveedor proporciona infraestructuras o servicios necesarios para el tratamiento, pero no tiene acceso a la información de Ediversa Group (p.ej. centro de datos, comunicaciones, IaaS/PaaS, …) |
|