RP.2 Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios
Requisito RP.2 | Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios |
---|---|
Objetivo | Establecer y asegurar el cumplimiento de los términos y condiciones de seguridad de la información de los contratos y acuerdos de nivel de servicio con los proveedores. Garantizar que los incidentes y problemas de seguridad de la información se manejan de forma adecuada. Asegurar que se gestiona adecuadamente la seguridad de la información frente a cambios en los servicios de los proveedores. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Se debe establecer un procedimiento de supervisión de los niveles de desempeño del servicio, en concordancia con los SLAs y los contratos. Debe evaluarse la posibilidad de realizar auditorías de los proveedores y, en función de sus resultados, reevaluar riesgos frente a cambios en los servicios de los proveedores. |
Instituciones de salud | Cuando se adquieran dispositivos médicos, validar que incorporen los últimos controles de seguridad ciberseguridad. Además, se deben establecer los roles y responsabilidades relacionados con las actualizaciones, parches, administración de contraseñas, acceso remoto, etc., para garantizar la ciberseguridad de los productos o servicios. |
Instituciones Emisoras de Dinero Electrónico (IEDES) | Existe personal responsable para el seguimiento de los acuerdos contractuales celebrados con proveedores terceros de servicios de tecnología. Se mantendrá y actualizará un registro de información en relación con todos los acuerdos contractuales sobre el uso de servicios de tecnología prestados por proveedores relevantes y otros terceros. Se definen criterios para seleccionar proveedores de servicios de computación en la nube. Se verifica que los proveedores de servicios de computación en la nube cuenten y mantengan vigente las certificaciones adecuadas. Se implementan mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los proveedores y terceros, incluyendo proveedores de servicio de computación en nube. |
Guía de evidencia para auditoría |
|
Normativa asociada | No aplica |