Política de relaciones con los proveedores

Para Sophos Solutions y sus filiales (en adelante “Sophos Solutions” o “La Organización” ), es importante identificar y establecer pautas y controles de seguridad de la información que garanticen la protección y aseguramiento de los principios de integridad, confidencialidad y disponibilidad de la información, minimizando los riesgos asociados a la interceptación, copia, modificación, divulgación y disposición no autorizada de la información entre la empresa y su relación con Proveedores/terceros que prestan servicios a la Empresa (en adelante “Proveedores”).

Establezca directrices y controles de seguridad para terceros (proveedores) que tengan una relación contractual con la empresa.

Dotar a los proveedores o terceros de Sophos Solutions de los mecanismos y controles de protección de seguridad adecuados al objeto del servicio contratado y bajo los estándares establecidos como aceptables por la organización.

Establecer directrices y controles de seguridad para los terceros (vendors) que tengan relación contractual con la empresa.

Esta política se aplica a todos los proveedores de la compañía que dentro de su relación contractual para ofrecer o tener acceso a los servicios de infraestructura, plataforma tecnológica / sistemas de información, procesamiento, almacenamiento, intercambio, modificación y / o creación de información física, digital o de recursos humanos con el fin de proteger la confidencialidad, integridad y disponibilidad de la información propiedad de Sophos Solutions.

Esta Política de relación con proveedores forma parte integral de la Política de seguridad de la información y, por lo tanto, se considera obligatoria y de obligado conocimiento para todos los proveedores y terceros relacionados con las soluciones de Sophos:

• Cualquier proveedor que preste servicios a La Empresa, y que tenga acceso a activos de información, debe contar con políticas, normas y estándares de seguridad de la información dentro de su organización, que deben desarrollarse y mantenerse actualizadas de acuerdo con los riesgos a los que se enfrenta su organización. Estas Políticas deben ser compartidas con Sophos Solutions antes de iniciar la prestación de los servicios, para que puedan ser conocidas y evaluadas.
• Políticas de seguridad de la información.
• Los requisitos para abordar los riesgos de seguridad de la información asociados a la cadena de suministro de productos y servicios de tecnologías de la información y la comunicación deben incluirse en los acuerdos con los proveedores para garantizar que funcionan correctamente y como espera la empresa.
• Además, cualquier proveedor que preste servicios a La Empresa y que, por el tipo de servicio que presta, deba acceder a la red de datos o a zonas restringidas dentro de las instalaciones de Sophos Solutions, deberá cumplir con los requisitos establecidos en la Política de Acceso a Zonas Restringidas estipulada en el documento PL-SSI-01 ABC Seguridad de la Información. Esta política puede solicitarse a Sophos Solutions en el momento de la contratación.
• Sophos Solutions se compromete a cumplir los requisitos de la política de acceso a áreas restringidas.
• Sophos Solutions llevará a cabo un análisis de seguridad asociado al servicio prestado por el Proveedor con el fin de identificar brechas que puedan ser o convertirse en potenciales vulnerabilidades que puedan exponer o poner en riesgo la continuidad del servicio, la confidencialidad, integridad o disponibilidad de la información propiedad de Sophos o que puedan materializar algún tipo de impacto reputacional, operativo o financiero para la Compañía.
• Es obligación del proveedor cerrar o solucionar las brechas identificadas en su servicio e informadas desde el área de Seguridad de la Información para cumplir estrictamente con los requisitos de esta política.
• En caso de que el proveedor requiera de la empresa información adicional a la autorizada o establecida en el acuerdo contractual o que no esté relacionada con el objeto de su servicio, será facultad del titular de la información analizar las razones de dicha solicitud y aprobar o rechazar el acceso o entrega de la misma, con la anuencia del área de Seguridad de la Información.
• Cualquier información confidencial de la empresa que deba ser intercambiada o transferida por el proveedor deberá ser resguardada, utilizando mecanismos de encriptación y por medios seguros y autorizados por Sophos Solutions.
• Softos Solutions no se responsabiliza por el acceso a dicha información.
• Si se requiere acceso a herramientas o activos tecnológicos de la empresa por parte del proveedor, se deberá realizar una solicitud de excepción de seguridad vía seguridad.info@sophossolutions.com o a través de la aplicación interna Flow2l/Security information/Exception por parte del proceso responsable del seguimiento del proveedor. El Área de Seguridad de la Información analizará los motivos de dicha solicitud y procederá a su concesión o denegación. Dicho acceso será gestionado por el área de infraestructura en caso de que se conceda el aval al área de seguridad de la información.
• El área de seguridad de la información será la responsable de gestionar el acceso a los recursos de la empresa.
• Queda expresamente prohibido el uso de los recursos proporcionados por Sophos Solutions para actividades ajenas al servicio contratado.
• Queda expresamente prohibido el uso de los recursos proporcionados por Sophos Solutions para actividades ajenas al servicio contratado.
• Está expresamente prohibido introducir o conectar a la red de Sophos Solutions cualquier tipo de malware (programas, macros, etc.), dispositivos lógicos, dispositivos físicos o cualquier otro tipo de secuencia de órdenes que causen o sean susceptibles de causar cualquier alteración o daño en los recursos informáticos y sistemas de información.
• En caso de que el vendedor deba contar con colaboradores en las oficinas de Sophos Solutions para el desarrollo de su trabajo, deberá informar por correo electrónico a las áreas administrativas, de infraestructura y seguridad, el motivo de la visita, las fechas y horarios de asistencia a las instalaciones de Sophos, los elementos informáticos requeridos, el acceso a áreas restringidas (si el trabajo lo requiere), la persona o procesos responsables de su permanencia en las instalaciones, así como la identificación respectiva de las personas que asistirán. Estas personas deberán estar debidamente identificadas durante su permanencia en las instalaciones de la Empresa, portando en un lugar visible su identificación conforme a lo relacionado por el PL-SSI-01 ABC Seguridad de la Información en su política de acceso físico.
• Los vendedores serán directamente responsables del acceso de sus empleados a documentos confidenciales o a las herramientas de Sophos Solutions, debiendo entenderse que dicho acceso es estrictamente temporal, sin otorgarles ningún derecho de propiedad o copia de dicha información. Asimismo, el vendedor deberá devolver el/los citado/s soporte/s inmediatamente después de la finalización de las tareas que han motivado el uso temporal de los mismos y, en todo caso, a la finalización de la relación contractual.
• Las actividades de instalación, configuración, puesta en marcha y mantenimiento de las herramientas de Sophos Solutions deberán ser realizadas por el vendedor.
• Toda instalación, configuración o mantenimiento por parte de los proveedores a la infraestructura tecnológica de la empresa, tales como servidores, equipos de red, equipos de soporte, cableado estructurado, cableado de energía, entre otros, deberá cumplir con los requisitos establecidos por el área de Infraestructura y la normatividad vigente.

• Los proveedores deben tener y aplicar buenas prácticas de continuidad de negocio, garantizando la prestación de servicios a la organización en caso de eventos disruptivos.
• Los proveedores deben tener y aplicar buenas prácticas de continuidad de negocio, garantizando la prestación de servicios a la organización en caso de eventos disruptivos.
• Todos los proveedores de soluciones de Sophos deben contar con planes de recuperación y continuidad ante desastres debidamente documentados y probados, que deben entregarse una vez formalizado el acuerdo contractual y al menos una vez al año junto con el informe de pruebas de continuidad de negocio a continuidaddelnegocio@sophossolutions.com

Los proveedores deberán conocer y acatar los procedimientos a que se refiere el presente capítulo, relativos a la vinculación, desvinculación, continuidad operativa y tratamiento de datos.

Los procesos de borrado seguro de la información, así como la notificación de incidentes, deberán definirse en función de los servicios concretos que preste el proveedor, no obstante, Sophos Solutions establecerá procedimientos genéricos en caso de que no puedan o deban definirse en el momento de la contratación.

Sophos Solutions establece un procedimiento general para la vinculación y desvinculación de Proveedores. Sin embargo, lo anterior puede tener particularidades para cada proceso de acuerdo a la necesidad específica. Dichas particularidades serán expuestas a los vendedores en el momento de la vinculación o desvinculación.

Sophos Solutions establece un procedimiento general para la vinculación y desvinculación de vendedores.

Para iniciar con el proceso de vinculación, el área de Compras solicitará al proveedor los siguientes documentos:

En caso de ser una persona jurídica:

• Certificado de existencia y representación legal
• .
• RUT
• Certificado de cuenta bancaria
• Identificación del representante legal
• .
• Formato de vinculación de proveedores con autorización de búsqueda en lista restrictiva

En caso de ser persona física:

• RUT
• Certificado de cuenta bancaria
• Identificación del representante legal
• Formato de vinculación de proveedores con autorización de búsqueda en lista restrictiva

Una vez obtenidos los documentos antes mencionados y aceptada la autorización de búsqueda en listas restrictivas, el área de compras verificará que la información suministrada por el proveedor sea consistente y procederá con la verificación de la empresa o persona natural en listas restrictivas.

En caso de algún hallazgo en la búsqueda de listas restrictivas o alguna inconsistencia en la información, esta información será reportada al área de riesgo de Sophos Solutions, para obtener sus consideraciones sobre el origen del vínculo del Proveedor.

En caso de no encontrar y hallar todos los documentos coincidentes, el área de Compras procederá con el archivo de documentación en los repositorios de Sophos Solutions y solicitará la tercerización contable, creación del proveedor.

Una vez concluida la necesidad de prestación de servicios del proveedor, el área requirente deberá informar al área de compras la intención de desvincular al proveedor, cualquiera que sea la causa.

En caso de que el servicio del proveedor’se haya realizado de manera instantánea, se enviará una carta informando la conformidad del servicio’con lo acordado por el área solicitante y se dará por terminada la relación contractual.

Si, por el contrario, el servicio se ha realizado de forma sucesiva, y ha tenido un contrato con obligaciones especiales por medio, el área de compras dará aviso al área jurídica para verificar que se han cumplido las obligaciones contractuales especiales y es posible resolver el contrato de acuerdo con los términos específicos del contrato, y se notificará al área requirente para que dé su consentimiento sobre el cumplimiento del objeto contractual.

Una vez concluida la etapa anterior, el área jurídica elaborará un aviso de terminación del contrato y solicitará la firma de un acta en la que conste la terminación, el cumplimiento de las obligaciones contractuales.

El área de compras realizará, en conjunto con las áreas requirentes y las áreas involucradas en la prestación del servicio, de acuerdo a las necesidades específicas, una lista de verificación de obligaciones finales tales como: borrado seguro de información, entrega o destrucción de información confidencial, entre otras.

Finalmente el área de compras solicitará la baja del proveedor en el outsourcing contable.

• El vendedor deberá garantizar el borrado seguro de la información propiedad de Sophos Solutions de acuerdo con los parámetros establecidos por el área Legal y de Seguridad de la Información en los términos contractuales incluidos en los contratos de servicios. Dicho borrado deberá ejecutarse una vez finalizada la relación contractual entre las partes, así como a requerimiento expreso de Sophos en cualquier momento del vínculo contractual.
• El proveedor deberá garantizar el borrado seguro de la información propiedad de Sophos Solutions.
• Previamente al borrado seguro, el vendedor garantizará la entrega de una copia (backup) con toda la información a Sophos Solutions. Los medios disponibles para la entrega de esta copia serán de común acuerdo entre las partes..
• Una vez que el vendedor haya generado el borrado de seguridad de la información propiedad de Sophos Solutions, deberá presentar un informe que relacione las evidencias del borrado (logs, capturas de pantalla) y demás que considere oportuno.
• El vendedor deberá entregar una copia de seguridad de la información propiedad de Sophos Solutions.

El presente Aviso de Privacidad (en adelante “Aviso”) establece los términos y condiciones bajo los cuales Sophos Solutions tratará sus datos personales.

• Los proveedores que estén relacionados con sistemas de almacenamiento, comunicación, infraestructuras tecnológicas, plataformas o sistemas de información que se presten o entreguen a la empresa como parte del servicio contratado, deberán establecer y documentar procedimientos para la gestión de incidencias de seguridad y ciberseguridad, que incluirán datos como la persona de contacto, teléfono y/o correo electrónico. Esta información se documentará y formalizará entre las partes. Asimismo, Sophos Solutions podrá solicitar informes o evidencias para validar el tratamiento dado en la gestión del incidente.
• Sophos Solutions podrá solicitar informes o evidencias para validar el tratamiento dado en la gestión del incidente.
• Los vendedores deberán comunicar cualquier evento sospechoso o incidente de seguridad de la información asociado a fuga, pérdida o alteración de información propiedad de la empresa, sus clientes y/o usuarios que comprometa la integridad y confidencialidad de la información asociada a las actividades de Sophos Solutions S.A.S’ a la cuenta de correo electrónico seguridad.info@sophossolutions.com no más tarde de 24 horas desde que se produjo el incidente.
• El vendedor debe cumplir las instrucciones emitidas por Sophos Solutions en relación con el incidente de seguridad notificado.
• Es necesario obtener pruebas de lo sucedido y los datos de la persona o personas implicadas en el incidente. Estas pruebas deben conservarse durante un periodo mínimo de 6 meses.
• Es necesario obtener pruebas de lo sucedido y de los datos de la persona o personas implicadas en el incidente.
• Es necesario implantar una estrategia o plan de atención al incidente de seguridad presentado para minimizar o reducir el impacto y la probabilidad de que vuelva a ocurrir un incidente de iguales o similares características.

El presente Aviso de Privacidad (en adelante “Aviso”) establece los términos y condiciones en los que Sophos Solutions tratará sus datos personales.

El presente Aviso de Privacidad (en adelante “Aviso”) establece los términos y condiciones en los que Sophos Solutions tratará sus datos personales.

Sophos Solutions’ el tratamiento con la información personal será el siguiente: La recolección, almacenamiento, uso, circulación, solicitud de encuestas de satisfacción, entre otros relacionados con la operación de La Empresa, para realizar las gestiones pertinentes para el desarrollo del objeto social de la empresa’en relación con el cumplimiento del objeto del contrato celebrado con el Titular de la información, entre otros relacionados.

Como titular de sus datos personales usted tiene derecho a:

• Acceder en forma gratuita a los datos suministrados que hayan sido objeto de tratamiento.
• Conocer, actualizar y rectificar sus datos personales.
• Conocer, actualizar y rectificar su información frente a datos parciales, inexactos, incompletos, fracturados, que induzcan a error, o aquellos cuyo tratamiento esté prohibido o no haya sido autorizado.
• Solicitar prueba de la autorización otorgada.
• Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a lo dispuesto en la normatividad vigente.
• Revocar la autorización y/o solicitar la supresión de los datos, siempre y cuando no exista un deber legal o contractual que impida la supresión de los datos.
• No responder a preguntas sobre datos sensibles. Las respuestas sobre datos sensibles o datos de niños, niñas y adolescentes serán optativas.
• Las respuestas sobre datos sensibles o datos de niños, niñas y adolescentes serán optativas.

El canal a través del cual puede acceder a las solicitudes, consultas y reclamaciones relacionadas con el tratamiento de datos es: habeasdata@sophossolutions.com

El Propietario puede acceder a nuestra Política de Tratamiento de la Información, que está publicada en el sitio web oficial de la empresa Home – Sophos Solutions /Corporate Information/ Data Processing Policy.

Sophos Solutions se reserva el derecho de solicitar al Vendedor la realización de visitas programadas tanto presenciales como virtuales (previo acuerdo entre las partes), y de conformidad con lo establecido en los contratos, específicamente a aquellos que, por su servicio de resguardo o procesamiento de información, sean considerados críticos para la empresa. Lo anterior, con el fin de verificar las condiciones de seguridad implementadas por el proveedor y otorgar garantías frente a riesgos de terceros, incluyendo la garantía sobre los controles internos de los proveedores de servicios externos.

Seguridad de la información.

Sophos Solutions establecerá las directrices oportunas para la difusión y entrega de las mismas a cada proveedor con el que mantenga una relación contractual con el fin de cumplir e implementar los requisitos de la compañía.

“Sophos Solutions S.A.S. se reserva el derecho de modificar este documento de acuerdo a los cambios que se produzcan dentro de la empresa”.