El presente documento establece las políticas y directrices que deben regir para la contratación, operación y supervisión de los proveedores que proporcionan servicios con tratamiento de la información a Ediversa Group.
Entre otros, aplica a aquellos proveedores que:
- Presten servicios que impliquen la custodia de información a su cargo.
- Presten servicios en la nube, En este ámbito se contemplan las diferentes variedades de servicios en la nube. Principalmente se contemplan
- IaaS (Infraestructure as a Service): Servicio que proporciona el uso en la nube de recursos, físicos y virtuales, como máquinas virtuales, cortafuegos, sistemas de almacenamiento o balanceadores de carga, entre otros.
El proveedor alquila la infraestructura y otorga al cliente el control casi total sobre ella. Así, es posible garantizar el acceso a los recursos de computación —como procesador, memoria RAM, disco duro…— y a las estructuras de red integradas —firewalls, routers, sistemas de seguridad y backup— en función de las necesidades.
- o CaaS (Container as a Service): Servicio mediante el cual se puede disponer de contenedores a demanda sin necesidad de preocuparse por la infraestructura que haya por debajo.
- o PaaS (Platform as a Service): Servicio que proporciona plataformas y entornos tecnológicos en la nube en la que los usuarios pueden desarrollar, ejecutar y administrar aplicaciones sin preocuparse por la infraestructura que haya por debajo.
Estas aplicaciones y servicios se pueden crear gracias a las herramientas que proporciona el proveedor, por ejemplo, mediante funcionalidades preconfiguradas por suscripción que permitan al cliente elegir cuáles va a utilizar, tal como, por ejemplo: sistema operativo, sistema de gestión de base de datos, software de servidor, soporte técnico, almacenamiento, hosting o herramientas de diseño y desarrollo, además de acceso a la red.
- o SaaS (Software as a Service): El servicio permite el uso de una aplicación final a la que se puede acceder a través de Internet. Se paga una cuota y se puede acceder a su aplicación desde cualquier sitio.
La aplicación se puede utilizar inmediatamente, sin necesidad de instalar nada, de hacer ningún despliegue, ni de llevar su mantenimiento. Todo está gestionado por el proveedor de servicio: aplicaciones, sistema en tiempo de ejecución, datos, middleware, sistemas operativos, virtualización, servidores, almacenamiento, redes…
- IaaS (Infraestructure as a Service): Servicio que proporciona el uso en la nube de recursos, físicos y virtuales, como máquinas virtuales, cortafuegos, sistemas de almacenamiento o balanceadores de carga, entre otros.
El hecho de que parte de la información esté en manos de un proveedor y, por tanto, haber delegado la gestión de determinados elementos de los sistemas de información de Ediversa Group, no implica que se deban relajar las exigencias establecidas por las políticas de seguridad de la información de Ediversa Group. Se debe tener especial cuidado en disponer de garantías de que se siguen respetando estas políticas.
Por tanto, se debe realizar una adecuada evaluación de riesgos para la seguridad de la información antes de utilizar los servicios de un proveedor, valorando que todos los ordenadores, nuestros o de un proveedor, está sujetos a las mismas amenazas.
En consecuencia, la aplicación de las medidas detalladas a continuación debe ser contrastada con la estimación de los riesgos identificados en el uso de los servicios prestados por el proveedor que le puedan afectar.
De modo orientativo se distinguen los siguientes tipos de proveedores:
| Tipo | Tratamiento | Garantías requeridas |
|---|---|---|
| Tipo A | Únicamente tienen acceso a la información, pero únicamente mediante los medios de Ediversa Group.
| • Compromiso de confidencialidad de las personas que acceden a la información. |
| Tipo B | Tiene acceso a la información de Ediversa Group y pueden disponer de copias de la información almacenada en sus equipos propios equipos y sistemas para su procesamiento.
| • Compromiso de confidencialidad de las personas que acceden a la información. • Control de acceso a los equipos e instalaciones en los que se almacena o procesa la información • Seguridad en las comunicaciones |
| Tipo C | Tienen acceso a la información y se requiere del proveedor que conserve la información por cuenta de Ediversa Group durante el tiempo establecido en el acuerdo entre ambas partes. | • Compromiso de confidencialidad de las personas que acceden a la información. • Control de acceso a los equipos e instalaciones en los que se almacena o procesa la información. • Seguridad en las comunicaciones. • Integridad de la información. • Disponibilidad de la información. • Resiliencia de los sistemas de tratamiento. |
| Tipo D | El proveedor proporciona infraestructuras o servicios necesarios para el tratamiento, pero no tiene acceso a la información de Ediversa Group (p.ej. centro de datos, comunicaciones, IaaS/PaaS, …) | • Control de acceso a los equipos e instalaciones en los que se almacena o procesa la información. • Protección física del emplazamiento. • Disponibilidad de los servicios. • Resiliencia de los sistemas de tratamiento. |
Asimismo, se tendrán en cuenta si hay un tratamiento de datos personales a fin de determinar las garantías necesarias como encargado del tratamiento.
Medidas de seguridad requeridas
Todos los proveedores que presten servicios que implique el tratamiento de información de Ediversa Group y de nuestros clientes en sus instalaciones, deben disponer de certificaciones ISO 27001 o equivalentes. Es necesario conocer las políticas de seguridad de la información de todos los proveedores que prestan servicios que implican el tratamiento y/o custodia de la información de Ediversa Group o nuestros clientes. Ediversa Group debe aplicar el proceso de evaluación de proveedores que implica la revisión periódica del cumplimiento de las garantías de nivel de servicio (SLA) acordadas y el cumplimiento de los requisitos de los servicios establecidos.Medidas generales Certificación y homologación
En el caso particular de proveedores de servicios e infraestructura de tratamiento de la información en la nube (SaaS, IaaS, PaaS), las certificaciones ISO27001 o equivalentes deben cubrir en su alcance los servicios prestados a Ediversa Group.
En caso de no disponer de dichas certificaciones, el proceso de homologación implica la verificación de la existencia de garantías equivalentes adecuadas a los riesgos identificados y, incluso, la posibilidad de responder a auditorias de terceras partes para verificar el desempeño de las garantías aportadas.Confidencialidad Todos nuestros proveedores deben firmar compromisos de confidencialidad y acuerdos de no divulgación (NDA) para proteger el secreto de la información de Ediversa Group y de nuestros clientes Políticas de seguridad de la información
Se deberá validar que dichas políticas son compatibles con los requisitos establecidos en el Sistema de Gestión de la Seguridad de la Información de Ediversa Group y, por tanto, cubren los riesgos que deben estar controlados.Evaluación de los servicios
En particular, Ediversa Group debe evaluar el cumplimiento de las disposiciones contempladas en esta política, en consonancia con los riesgos apreciados.Evaluación de los servicios
Aseguramiento de la cadena de suministroLa política de Ediversa Group es la de garantizar la continuidad de nuestros servicios mediante la diversificación y redundancia de proveedores. Cese de servicio Ediversa Group requiere de sus proveedores, y en especial aquellos que prestan servicios en la nube, que eliminen cualquier información que traten una vez se acuerda el cese de servicio. Esta política se aplica a toda la información que se procesa en virtud del servicio prestado, ya sea propia de Ediversa Group o de nuestros clientes, y debe incluir:
• Los procedimientos de fin de servicio que cubran la eliminación y/o devolución de activos al dar de baja el servicio.
• La eliminación de todas las copias de los datos (excepto copias de seguridad propias del proveedor)
• La definición de los plazos para las diferentes operaciones de terminación del servicio
| Medidas generales | |
|---|---|
| Segregación de entornos | Ediversa Group requiere de sus proveedores, y en especial aquellos que prestan servicios en la nube, que garanticen la segregación de los entornos virtuales de procesamiento de la información, con garantías de estanqueidad del acceso a los diferentes entornos y de la capacidad de servicio. |
| Seguridad física de los centros de tratamiento | |
|---|---|
| Seguridad Física | Los proveedores deben proporcionar garantías con respecto a las medidas de seguridad física en sus centros de datos cubriendo aspectos tales como: • Perímetro de seguridad física que para proteger las áreas que contienen información sensible, así como los recursos de tratamiento de la información. • Las áreas seguras deben estar protegidas mediante controles de entrada adecuados, para asegurar que únicamente se permite el acceso al personal autorizado. • Se aplica una protección física contra desastres naturales, ataques provocados por el hombre o accidentes • Existen procedimientos para trabajar en las áreas seguras. |
| Instalaciones de suministro | Los proveedores deben proporcionar garantías con respecto a las medidas que han adoptado para evitar interrupciones de servicio debidas a fallo en las instalaciones de suministro, en especial fallos de alimentación eléctrica. |
| Redundancia de redes de telecomunicaciones | Los proveedores deben proporcionar garantías con respecto a la disponibilidad de los servicios de acceso a redes de telecomunicaciones tal como: • Redundancia de puntos de accesos a la red • Redundancia de operadores |
| Seguridad de red | |
|---|---|
| Supervisión continua | Los proveedores deben garantizar la supervisión 24x7 de la red que permita dar respuesta a incidentes.
|
| Protección perimetral | Especialmente en el caso de servicios IaaS, los sistemas de protección de la red deben incluir medidas para garantizar que los accesos a los recursos utilizados por Ediversa Group están protegidos frente a amenazas.
|
| Mitigación de vulnerabilidades y amenazas de red | El proveedor debe proporcionar garantías de que aplica una política activa de detección y mitigación de las vulnerabilidades que existen en la red, y medidas proactivas para identificar i prevenir nuevas amenazas que puedan afectar a la seguridad de los servicios. |
| Facilidades para pruebas de penetración | En el caso de servicios IaaS, el proveedor debe facilitar que Ediversa Group pueda ejecutar pruebas de penetración en sus sistemas y aplicaciones. |
| Mitigación DDoS | El proveedor debe proporcionar garantías de que ha adoptado las medidas necesarias para mitigar ataques que afecten a la disponibilidad de los servicios, tal como DDoS. |
| Cifrado de datos en tránsito | Toda la información en tránsito que se transmite a través de Internet para acceder a los servicios del proveedor debe ir cifrada, utilizando las versiones más recientes y seguras de los protocolos. |
| Segregación en redes | El proveedor debe proporcionar garantías o mecanismos para garantizar un canal de comunicación segregado para acceder a los servicios cloud, por ejemplo, una VPN o canales SSH garantizados. |
| Control de acceso | |
|---|---|
| Acceso a los servicios | El servicio debe proporcionar controles para asegurar que los usuarios solo tienen acceso a los servicios para los que han sido especialmente autorizados a usar.
|
| Alta y baja de usuarios | Siempre que se posible, el servicio debe permitir la identificación unívoca de los usuarios del servicio, evitando el uso del servicio mediante unas únicas credenciales compartidas.
|
| Cuentas de acceso privilegiado | Siempre que sea posible, se deberá evitar el uso de cuentas compartidas con privilegios de administración (por ejemplo “admin”).
|
| Acceso a los datos por parte del proveedor | En el caso de que el tipo de servicio requiera que el proveedor pueda tener acceso a los datos de los servicios (por ejemplo, la configuración en servicios SaaS), debe disponer de mecanismos para acceder con sus propias credenciales, sin necesidad de que los usuarios de Ediversa Group deban comunicar y comprometer el secreto de sus credenciales de acceso. |
| Protección frente ataques de autenticación | Los servicios deben proporcionar mecanismos para prevenir y mitigar los ataques de fuerza bruta que puedan comprometer la autenticación del acceso a los servicios.
|
| Asignación secreta de contraseñas | Especialmente en el caso de servicios SaaS, el servicio debe proporcionar un procedimiento que garantice el secreto de las contraseñas asignadas.
|
| Sistema de gestión de contraseñas | Es recomendable que los servicios cuenten con sistemas de gestión de contraseñas que faciliten el cumplimiento de las políticas de contraseñas seguras de Ediversa Group, tal como controles relativos a la longitud y complejidad de las mismas. |
| Acceso mediante API | En el caso de que el servicio permita el acceso mediante APIs de programación, el acceso debe estar protegido de manera que: • Asegure el acceso segregado a los servicios de Ediversa Group, sin que exista posibilidad de que otros clientes del servicio puedan acceder a datos o recursos de Ediversa Group y viceversa. • La API debe disponer de mecanismos que aseguren en todo momento la autenticación segura de las llamadas (oAuth, tokens o similares). |
| Operaciones de seguridad | |
|---|---|
| Supervisión y gestión de la capacidad | Especialmente en el caso de servicios IaaS, Ediversa Group debe tener la capacidad de supervisión de los sistemas y gestión de la capacidad, para monitorizar de forma continua el desempeño de los sistemas, supervisar el uso de los recursos y ajustar la utilización de los recursos, así como realizar proyecciones de los requisitos futuros de capacidad, para garantizar el rendimiento requerido de los sistemas. |
| Respuesta a Incidentes de seguridad de la información | El proveedor debe disponer de mecanismos para comunicar de forma inmediata y efectiva cualquier incidente de seguridad de la información que suponga un riesgo para la seguridad de los servicios y datos de Ediversa Group. Para ello: • El proveedor debe informar adecuadamente de los incidentes que afectan al servicio • Ediversa Group debe está informado de los procedimientos y canales del proveedor para informar y realizar el seguimiento de los incidentes. • El proveedor informa proactivamente de posibles amenazas que pueden suponer posibles incidente de seguridad de la información. • En las condiciones del servicio se deben haber identificado las responsabilidades en caso de incidente o por tipo de incidente. |
| Gestión de cambios | El proveedor debe proporcionar información previa de los cambios que realice.
|
| Registros de auditoría | El servicio proporcionado debe permitir el registro de auditoria (logs) de los eventos que sean necesarios de acuerdo con la apreciación de riesgos del servicio.
|
| Vulnerabilidades técnicas | El proveedor debe proporcionar información puntual y efectiva sobre vulnerabilidades técnicas detectadas.
|
| Protección frente a malware | Especialmente en el caso de servicios SaaS, el proveedor debe incluir mecanismos para proteger la información a su cargo frente a: • Ataques de malware que puedan comprometer la integridad y confidencialidad de la información alojada en sus servidores. • Propagación de malware oculto en contenidos que Ediversa Group pueda subir a los servidores del proveedor. |
| Disponibilidad y continuidad | |
|---|---|
| Disponibilidad | Se deben establecer objetivos de disponibilidad de los servicios en los acuerdos de nivel de servicio (SLA) que se acuerdan con el proveedor.
|
| Redundancia | Especialmente en el caso de servicios IaaS, el proveedor debe proporcionar información sobre las medidas de redundancia de los sistemas más críticos que puedan afectar al servicio, en especial conexiones de red y servicios de alimentación eléctrica.
|
| Copias de Seguridad del Proveedor | Especialmente en el caso de servicios SaaS, el proveedor debe garantizar que se realizan copias de seguridad de forma periódica y de acuerdo con los objetivos establecidos en los acuerdos de nivel de servicio.
|
| Copias de seguridad adicionales | Confiar únicamente en las copias de seguridad del proveedor entraña riesgos que deben ser valorados, teniendo que prever eventos tal como la discontinuidad del servicio prestado por el proveedor, un incidente grave que repercuta en una interrupción prolongada de los servicios, o la misma continuidad del proveedor en el mercado.
|
| Seguridad de los recursos humanos | |
|---|---|
| Responsabilidades | Para cada servicio contratado por Ediversa Group debe haber un responsable de este a cargo de la verificación del cumplimiento de estas políticas, la evaluación de riesgos para la seguridad de la información, la determinación de las medidas técnicas y organizativas necesarias para mitigar los riesgos, y la supervisión del desempeño de los controles implantados. |
| Responsabilidades del personal del proveedor | El proveedor debe proporcionar garantáis conforme a que su personal conoce sus responsabilidades y obligaciones en cuanto a la confidencialidad y seguridad de la información en general, y está adecuadamente formado y capacitado para aplicar las medidas técnicas y organizativas necesarias. |
| Incumplimientos por parte del personal del proveedor | Se debe contemplar el caso de que se produzca un incumplimiento de las obligaciones de seguridad de la información por parte del personal del proveedor.
|
| Formación y concienciación del personal | Todo el personal que utilice servicios en la nube debe ser formado en el uso de estos, incluyendo: • Estándares y procedimientos para el uso de los servicios en la nube • Riesgos asociados al uso de estos servicios • Consideraciones legales y regulatorias |
| Protección de datos personales | |
|---|---|
| Política de privacidad | Se debe conocer la Política de Privacidad que aplica al tratamiento de los datos de los cuales es responsable Ediversa Group. Dicha política debe incluir la información sobre las finalidades y legitimidad de los tratamientos, las categorías de datos tratados, los criterios de conservación de los datos, las posibles comunicaciones o cesiones de datos, y el procedimiento para que los interesados puedan ejercer sus derechos. |
| Encargo de tratamiento | Es necesario disponer de acuerdos de encargo de tratamiento de datos personales (DPA) con todos los proveedores que prestan servicios que implican el tratamiento en sus instalaciones de datos personales de los cuales son responsables Ediversa Group o nuestros clientes.
|
| Cumplimiento normativo | Los proveedores de Ediversa Group deben cumplir la legislación de protección de datos de acuerdo con el Reglamento (UE) 2016/679 de Protección de Datos Personales (RGPD).
|
| Transferencias internacionales de datos | Si la prestación de los servicios por parte del proveedor implica el tratamiento de los datos personales en ubicaciones fuera del Espacio Económico Europeo, se deberá asegurar que se realiza únicamente cuando los países ofrecen un nivel adecuado de protección o, en el caso de entidades en los EE.UU. que estén certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016. |
| Cumplimiento legal | |
|---|---|
| Jurisdicción de los tratamientos | Se debe valorar el impacto que puede suponer que la legislación aplicable pueda ser la del proveedor del servicio, cuando esta sea diferente de la propia de Ediversa Group.
|
| Propiedad intelectual | Los acuerdos de servicio que vinculan a nuestros proveedores deben incluir cláusulas que garanticen el respeto a los derechos intelectuales de Ediversa Group.
|