Política de seguridad de proveedores y terceros

La Política de seguridad de proveedores y terceros (P26) proporciona un marco de gobernanza integral para establecer, gestionar y supervisar de forma continua relaciones seguras con proveedores terceros, contratistas, proveedores de nube y organizaciones de servicios. Esta política está diseñada para organizaciones comprometidas con el mantenimiento de normas rigurosas de seguridad de la información al externalizar o adquirir servicios que acceden, tratan o se integran con activos y sistemas empresariales críticos. La política se aplica a todas las relaciones con proveedores que impliquen datos sensibles, entornos de producción o soporte para funciones empresariales clave, abarcando tanto a los proveedores directos como a sus subcontratistas. Define roles y responsabilidades detallados para el Director de Seguridad de la Información (CISO), Adquisición y Gestión de proveedores, responsables de Seguridad de la información y gestión de riesgos, propietarios de procesos y las funciones de Legal y Cumplimiento. Cada rol contribuye a la gestión segura del ciclo de vida de los proveedores, desde la evaluación inicial de riesgos y la negociación contractual hasta la monitorización continua y la desvinculación segura. Un elemento central de la política es el requisito de un modelo formal de clasificación de terceros y clasificación por niveles de riesgo, que agrupa a los proveedores en función del acceso a datos, la criticidad del servicio, las exposiciones normativas y las dependencias de terceros. Todas las relaciones con terceros deben adherirse a un enfoque de ciclo de vida definido: los proveedores se someten a diligencia debida previa al contrato, evaluación de riesgos y revisión de seguridad contractual; los contratos deben incorporar controles de seguridad exigibles, incluida la notificación de incidentes, las cláusulas de derecho de auditoría, el manejo de datos y requisitos específicos para el uso de subcontratistas. Posteriormente, los proveedores se monitorizan de forma continua mediante certificaciones, desempeño de acuerdos de nivel de servicio, notificación de incidentes de seguridad y cambios en sus servicios o personal. Si un proveedor no puede cumplir plenamente los requisitos de seguridad, la política exige un proceso formal de solicitud de excepciones, con documentación, controles compensatorios y aprobación ejecutiva. El estado de excepción activa revisiones frecuentes y puede dar lugar a términos renegociados o auditorías suplementarias. Los proveedores que se consideren en incumplimiento se enfrentan a penalizaciones contractuales, suspensión o terminación de servicios y accesos. La aplicación estricta se garantiza mediante auditorías de cumplimiento programadas, revisiones del desempeño de proveedores y medidas disciplinarias por elusión interna de la política. La política se revisa al menos anualmente o ante cambios significativos en la estrategia de adquisición, el panorama normativo o tras incidentes importantes de proveedores. Todos los cambios y resultados de auditoría se documentan y comunican en toda la organización, manteniendo un programa de gobernanza de terceros totalmente trazable y conforme.