Establecer las reglas para que el ambiente de todas las empresas proveedoras, prestadoras de servicios, intermediarias y\/o socios, relacionadas a seguridad de la informaci\u00f3n contratada (\u201cCONTRATADA\u201d o \u201cCONTRATADAS\u201d) por Sinch Latam (\u201cCONTRATANTE\u201d), tengan el m\u00ednimo de requisitos de Seguridad de la Informaci\u00f3n, con el fin de mitigar los riesgos que pudieran ocasionarsea la CONTRATANTE.<\/p>\n\n\n\n
De esta forma, donde exista la palabra \u201cdebe\u201d el requisito es obligatorio, debiendo ser implementado por el proveedor, y cuando fuera usada la palabra \u201crecomendamos\u201d el requisito es opcional, apenas una buena pr\u00e1ctica.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Esta gu\u00eda se aplica a todas las empresas CONTRATADAS, Proveedores y\/o Socios, que presten el servicio a Sinch Latam, cuyas actividades abordan acceso a datos de colaboradores, operacionales, clientes o financieros de la CONTRATANTE.<\/p>\n\n\n\n
<\/p>\n\n\n\n
4.1.1. <\/strong>Atender todas las pautas descritas en este documento, almacenarlo en un lugar de com\u00fan acceso para todos los colaboradores involucrados en los productos o servicios prove\u00eddos para Sinch Latam.<\/p>\n\n\n\n 4.1.2. <\/strong>Dar evidencia del cumplimiento de todas las pautas descritas en este documento, aplicables a su negocio.<\/p>\n\n\n\n <\/p>\n\n\n\n Recomendamos que la CONTRATADA tenga una Pol\u00edtica de Seguridad de la Informaci\u00f3n o un documento equivalente, resaltando la importancia de la Seguridad de la Informaci\u00f3n para la empresa. El documento necesita abordar los siguientes temas:<\/p>\n\n\n\n La CONTRATADA tiene el papel y la responsabilidad de cada \u00e1rea con la seguridad de la informaci\u00f3n. Este documento debe incluir la participaci\u00f3n de la alta directoria y tener claro su involucramiento y compromiso con las actividades relacionadas a Seguridad de la Informaci\u00f3n.<\/p>\n\n\n\n <\/p>\n\n\n\n La CONTRATADA debe documentar explicando como la informaci\u00f3n de la CONTRATANTE debe ser clasificada, cuales tipos de clasificaci\u00f3n de la informaci\u00f3n y cuando usar cada clasificaci\u00f3n, siendo que, la informaci\u00f3n compartida entre Sinch Latam y sus socios, necesitan tener una clasificaci\u00f3n como m\u00ednimo confidencial<\/strong>.<\/p>\n\n\n\n La CONTRATADA debe documentar como es tratada la informaci\u00f3n dentro de la empresa con la informaci\u00f3n de la CONTRATANTE.<\/p>\n\n\n\n Ese documento necesita abordar el manejo de la informaci\u00f3n f\u00edsica y l\u00f3gica, contener explicaciones equivalentes a:<\/p>\n\n\n\n Siguen algunos puntos que lo \u00edtems citados arriba, deben seguir, siempre que sea posible:<\/p>\n\n\n\n La CONTRATADA debe implementar una Pol\u00edtica de Privacidad de Datos, abordando los principales aspectos de la LGPD (Ley General de Protecci\u00f3n de Datos), incluyendo los mecanismos de protecci\u00f3n de datos y la Ley de Privacidad del pa\u00eds (GDPR, PDPA, etc..) en caso almacene los datos fuera de Brasil.<\/p>\n\n\n\n <\/p>\n\n\n\n La CONTRATADA debe documentar el per\u00edmetro de seguridad f\u00edsica existente, considerando la clasificaci\u00f3n de las \u00e1reas y\/o sectores, informando:<\/p>\n\n\n\n La CONTRATADA debe hacer uso de criptograf\u00eda en los siguientes escenarios:<\/p>\n\n\n\n Para situaciones donde no sea posible realizar el uso de criptograf\u00eda, favor de considerar el uso de HASH<\/strong>.<\/p>\n\n\n\n Para comunicaci\u00f3n entre las aplicaciones, considerar siempre el uso de TLS 1.2 <\/strong>o superior.<\/p>\n\n\n\n Realizar el monitoreo de la red de datos a trav\u00e9s de dispositivos como:<\/p>\n\n\n\n Garantizar que esos equipos est\u00e9n generando logs y emitiendo alertas cuando sea necesario. Debe ser realizadala revisi\u00f3n peri\u00f3dica de los logs. Recomendamos que se registre y comunique los incidentes que sean alertados por esos dispositivos, as\u00ed como, las medidas tomadas para evitar su reincidencia.<\/p>\n\n\n\n La CONTRATADA debe tener documentado como la criptograf\u00eda debe ser usada sobre los datos de la CONTRATANTE y, ejemplificar su uso en determinados dispositivos, como Notebooks y aplicaciones. As\u00ed como, tambi\u00e9n debe ser utilizada en discos de almacenamiento.<\/p>\n\n\n\n El documento debe contener recomendaciones sobre cu\u00e1les son los tipos de algoritmos criptogr\u00e1ficos que deben usarse y qu\u00e9 hacer en los casos donde no se aplica la criptograf\u00eda o su uso se vuelva inviable.<\/p>\n\n\n\n La CONTRATADA debe realizar la gesti\u00f3n de los activos de la empresa a trav\u00e9s de una planilla o un sistema automatizado, siempre que contengan la siguiente informaci\u00f3n:<\/p>\n\n\n\n Importante que exista tambi\u00e9n, el registro de los cambios efectuados cuando el activo contenga informaci\u00f3n de la CONTRATANTE. Tener un documento informando cu\u00e1l es el proceso para solicitar un activo dentro de la CONTRATADA.<\/p>\n\n\n\n La CONTRATADA debe realizar la gesti\u00f3n de los accesos l\u00f3gicos y f\u00edsicos, haciendo uso de los principios de Need to Know <\/strong>y Least Privilege<\/strong> para evitar que personas no autoriza as tengan accesos a informaci\u00f3n confidencial.<\/p>\n\n\n\n Es necesario garantizar que las cuentas de acceso tengan un tiempo m\u00e1ximo de 90 d\u00edas para inactivarse en caso de no usarlas. Tambi\u00e9n es necesario tener identificado y segmentado las cuentas que son usadas solamente para servicios, evitando que estas sean utilizadas para realizar login. Es importante que todos los accesos sean registrados y que los usuarios cuenten con IDs \u00fanicos, con el objetivo de facilitar su identificaci\u00f3n.<\/p>\n\n\n\n La revisi\u00f3n de los accesos debe ser realizada como m\u00ednimo anualmente, para as\u00ed garantizar que ning\u00fan colaborador que fue desvinculado o que cambi\u00f3 de funci\u00f3n contin\u00fae con accesos indebidos a alg\u00fan sistema y\/o funciones. Cuando un colaborador sea desvinculado, se le debe retirar sus accesos inmediatamente o en un periodo corto de tiempo.<\/p>\n\n\n\n El acceso remoto a los recursos de la CONTRATADAdebe ser preferentemente a trav\u00e9s de VPN o de la forma que la CONTRATADA considere sea mejor, desde que ese caso sea aprobado por un gestor y tenga los accesos monitoreados.<\/p>\n\n\n\n La CONTRATADA debe documentar el procedimiento informando como son realizados los registros y tratamientos de los incidentes relacionados a seguridad de la informaci\u00f3n, que involucren o no a la CONTRATANTE.<\/p>\n\n\n\n La CONTRATADA debe realizar un an\u00e1lisis peri\u00f3dico de los incidentes informados, para que se tenga conocimiento de si las medidas de prevenci\u00f3n est\u00e1n siendo eficaces.<\/p>\n\n\n\n Tener un documento con los procedimientos adecuados para la realizaci\u00f3n del backup de los datos, este debe contener:<\/p>\n\n\n\n La CONTRADADA tambi\u00e9n debe informar, cuales de los tipos de datos deben ser parte delas copias y sus respectivos due\u00f1os. Este tambi\u00e9n debe tener, un documento conlos procedimientos adecuados para la realizaci\u00f3n de la restauraci\u00f3n de los datos, este debe contener:<\/p>\n\n\n\n Documentar todas las pruebas realizadas y hacer el registro de incidentes siempre que hubiera un resultado fuera de los esperado. Para realizaci\u00f3n de las pruebas, los backups deben ser escogidos de manera aleatoria.<\/p>\n\n\n\n Es importante que la CONTRATANTE haga la gesti\u00f3n de actualizaciones pertinentes a los sistemas que utiliza, donde debe tener una m\u00e1xima atenci\u00f3n a las actualizaciones que sean consideradas cr\u00edticas y para los parches de seguridad. Los registros deben mantenerse, acompa\u00f1\u00e1ndolos a trav\u00e9sde listas de correo, foroso boletines del fabricante.<\/p>\n\n\n\n Se debe tener un procedimiento documentado de c\u00f3mo aplicar esas actualizaciones\/parches, de manera que no vengan a impactar en el negocio.<\/p>\n\n\n\n La CONTRATADA debe definir un procedimiento documentado, donde existan las acciones necesarias para la realizaci\u00f3n de la gesti\u00f3n de vulnerabilidades y pentest, esta debe contener:<\/p>\n\n\n\n El documento todav\u00eda debe informar c\u00f3mo son clasificados los riesgos, los impactos y llevar en cuenta la probabilidad de exploraci\u00f3nde una falla encontrada. Importante contener la forma en como los puntos encontrados son transmitidos a los equipos responsables.<\/p>\n\n\n\n La CONTRATANTE se da el derecho de realizar Pentest y scaneos de vulnerabilidad en la infraestructura de la CONTRATADA, as\u00ed como, en su producto y servicios prestados a la CONTRATANTE. El proceso ser\u00e1 previamente alineado y la CONTRATADA recibir\u00e1 uninforme final que contendr\u00e1 status de an\u00e1lisis, as\u00ed como, plazos para la correcci\u00f3n de posibles vulnerabilidades identificadas.<\/p>\n\n\n\n La CONTRATADA debe realizar campa\u00f1as peri\u00f3dicas de concientizaci\u00f3n de colaboradores, abordando temas del sistema de gesti\u00f3n de la seguridad de la informaci\u00f3n, tales como:<\/p>\n\n\n\n Abordando los principales vectores de ataques que son usados hoy, que son mensajes por SMS\/WhatsApp, e-mails falsos, llamadas haci\u00e9ndose pasar por otra persona, pendrives o dispositivos de medios removibles que puedes se \u201cencontrados\u201d, etc.<\/p>\n\n\n\n La importancia de usar un gestorde contrase\u00f1as, implementar un segundo factor de autenticaci\u00f3n o intentar usar como m\u00ednimo 8 caracteres para componer la contrase\u00f1a y uso de espacios, n\u00fameros, caracteres especiales y letras may\u00fasculas y min\u00fasculas.<\/p>\n\n\n\n En el caso de los aplicativos que hacen la gesti\u00f3n autom\u00e1tica de contrase\u00f1a, tenemos algunos conocidos como:<\/p>\n\n\n\n Como segundo factor de autenticaci\u00f3n, recomendamos que sea utilizado un aplicativo y no el env\u00edo de mensajes para celular. Existen algunos aplicativos como:<\/p>\n\n\n\n Algunos ejemplos de contrase\u00f1as seguras que pueden ser creadas sin ajuda de un aplicativo, son las contrase\u00f1as creadas a partir de frases, letras de m\u00fasica o cosas relacionadas a las actividades comunes, como por ejemplo:<\/p>\n\n\n\n No dejar documentos importantes sobre la mesa, principalmente prestando atenci\u00f3n a los que son clasificados como confidencial y no sobrecargar el \u00e1rea de trabajo con documentos o \u00edconos que puedan facilitar la acci\u00f3n de un ataque de ingenier\u00eda social.<\/p>\n\n\n\n La CONTRATADA debe aplicar entrenamientos por lo menos una vez por a\u00f1o y con un foco en la seguridad de la informaci\u00f3n como un todo, informando principalmente los objetivos y la importancia de tener un ambiente seguro.<\/p>\n\n\n\n Es importante tener el registro de las campa\u00f1as y de sus eficacias.<\/p>\n\n\n\n La CONTRATADA debe hace la gesti\u00f3n de los logs y datos de auditor\u00edade los sistemas considerados cr\u00edticos y almacenarlos en un lugar adecuado, que pueda garantir su integridad, confidencialidad y disponibilidad.<\/p>\n\n\n\n Todos los logs que sean generados por los sistemas\/activos que sean considerados cr\u00edticos para la CONTRATANTE, deben contener el m\u00e1ximo de detalles para facilitar su rastreabilidad.<\/p>\n\n\n\n La CONTRATADA debe realizar la segregaci\u00f3n de los ambientes como la intenci\u00f3n de mantener los datos de prueba, homologaci\u00f3n y producci\u00f3n, separados. La CONTRATADA debe garantizar que la informaci\u00f3n oficial de la CONTRATANTE contenida en el ambiente de producci\u00f3n no ser\u00e1 replicada en el ambiente de homologaci\u00f3n, evitando que personas no autorizadas tengan acceso a datos confidenciales.<\/p>\n\n\n\n Tambi\u00e9n es importante, que todas las alteraciones sean realizadas en los ambientes de homologaci\u00f3n y pruebas, antes que vayan para el ambiente de producci\u00f3n, con el objetivo de minimizar los impactos que puedan ser generados por tales alteraciones.<\/p>\n\n\n\n Mismo estando enambientes separados, todo tipo de alteraci\u00f3n que sea realizada, debe ser documentada.<\/p>\n\n\n\n La CONTRATADA debe documentar las mejores pr\u00e1cticas a seguir para un desarrollo seguro, este debe contener:<\/p>\n\n\n\n La CONTRATADA se debe comprometer a realizar y\/o indicar entrenamientos o workshops para los equipos de desarrollo, mostrando la importancia de mantener un c\u00f3digo seguro, mostrando las exposiciones recurrentes de datos que ocurren por falla en el proceso de desarrollo.<\/p>\n\n\n\n La CONTRATADA debe documentar todos los proveedores que est\u00e1n directamente relacionados a los productos o servicios prove\u00eddos a la CONTRATANTE, y garantizar que los requisitos de seguridad de la informaci\u00f3n sean un requisito acordado con estos proveedores, para minimizar los riesgos de confidencialidad, disponibilidad e integridad de la informaci\u00f3n de la CONTRATANTE.<\/p>\n\n\n\n La CONTRATADA debe documentar un plan de contingencia, con el objetivo de garantizar la disponibilidad de los productos o servicios prove\u00eddos a la CONTRATANTE, describiendo los procedimientos a ser seguidos en caso de desastres, evitando o minimizando el impacto de estos incidentes. El documento debe contener:<\/p>\n\n\n\n Adem\u00e1s de eso, la CONTRATADA debe poner a disposici\u00f3n en lugaresde f\u00e1cil acceso y visibilidad, una lista con tel\u00e9fonos de autoridades y personas que deben ser accionadas en caso de que ocurra un incidente.<\/p>\n\n\n\n La CONTRATADA debe identificar y garantizar la conformidad con los requisitos legales relacionados a los productosy servicios prove\u00eddos a la CONTRATANTE.<\/p>\n\n\n\n Sila CONTRATADA tiene conocimiento o sospecha de cualquier evento que viole las reglas de la Pol\u00edtica o coloque en riesgo la seguridad de la informaci\u00f3n de la compa\u00f1\u00eda, esta deber\u00e1 comunicar inmediatamente lo ocurrido para security-latam@sinch.com o security@sinch.com.<\/p>\n\n\n\n <\/p>\n\n\n\n \u00daltima modificaci\u00f3n: 28 de marzo de 2022<\/strong><\/p>\n","protected":false},"author":6,"parent":0,"menu_order":314,"template":"","meta":{"_acf_changed":false,"footnotes":""},"legal_category":[396],"class_list":["post-43116","legal","type-legal","status-publish","hentry","legal_category-other-es"],"acf":[],"yoast_head":"\n5. Directrizes<\/h2>\n\n\n\n
\n
5.1. Papeles y responsabilidad de cada equipo<\/h3>\n\n\n\n
5.2. Classificaci\u00f3n de la informaci\u00f3n dentro de la empresa<\/h3>\n\n\n\n
\n
\n
5.3. Monitoreo de ambiente fisico y l\u00f3gico<\/h3>\n\n\n\n
5.3.1. Seguridad fisica<\/h4>\n\n\n\n
\n
5.3.2. Seguridad l\u00f3gica<\/h4>\n\n\n\n
\n
\n
\n
\n
\n
5.3.3. Uso de criptografia<\/strong><\/h4>\n\n\n\n
5.4. Gesti\u00f3n de activos<\/h4>\n\n\n\n
\n
5.5. Gest\u00e3o de acceso<\/h4>\n\n\n\n
5.6. Respuesta a incidentes de seguridad<\/h4>\n\n\n\n
\n
\n
\n
5.7. Backup e restore<\/h4>\n\n\n\n
\n
\n
5.8. Gesti\u00f3n de actualizaciones<\/h4>\n\n\n\n
5.9. Gesti\u00f3n de vulnerabilidades y pentest<\/h4>\n\n\n\n
\n
5.10. Conscientizaci\u00f3n de colaboradores<\/h4>\n\n\n\n
\n
\n
\n
\n
\n
\n
\n
\n
5.11. Gesti\u00f3n y almacenamiento de logs<\/h4>\n\n\n\n
5.12. Segregaci\u00f3n de ambientes<\/h4>\n\n\n\n
5.13. Desarrollo seguro<\/h4>\n\n\n\n
\n
\n
5.14. Gesti\u00f3n de la cadena de suministro<\/h4>\n\n\n\n
5.15. Plan de contingencia<\/h4>\n\n\n\n
\n
5.16. Conformidad<\/h4>\n\n\n\n
5.17. Incidente de seguridad de la informaci\u00f3n<\/h4>\n\n\n\n
6. Historial<\/h2>\n\n\n\n