Política de Gestión de Riesgos de Terceros

[ORGANIZACION] deberá mantener un inventario de todos los proveedores de servicios de terceros con acceso a los datos o sistemas de [ORGANIZACION], incluyendo: nombre del proveedor, servicios proporcionados, datos compartidos/accesibles, clasificación de riesgo, propietario del contrato y fecha de última evaluación.

Los terceros deberán clasificarse según el riesgo: Crítico (acceso a datos Restringidos o sistemas críticos), Alto (acceso a datos Confidenciales o sistemas importantes), Medio (acceso a datos Internos), Bajo (sin acceso a datos, interacción limitada con sistemas).

El inventario deberá revisarse y actualizarse al menos [PERSONALIZAR: anualmente/semestralmente].

Todos los terceros clasificados como de riesgo Crítico o Alto deberán someterse a una evaluación de seguridad antes de la ejecución del contrato y al menos [PERSONALIZAR: anualmente] a partir de entonces.

Las evaluaciones deberán evaluar: políticas y prácticas de seguridad de la información, controles de protección de datos y privacidad, capacidades de respuesta a incidentes, continuidad del negocio y recuperación ante desastres, certificaciones de cumplimiento (SOC 2, ISO 27001, etc.), prácticas de gestión de vulnerabilidades y mecanismos de control de acceso.

Los métodos de evaluación pueden incluir: cuestionarios de seguridad (por ejemplo, SIG, CAIQ), revisión de informes de auditoría (SOC 2 Tipo II, certificado ISO 27001), evaluaciones presenciales o virtuales y servicios automatizados de calificación de riesgo.

Los contratos con terceros que manejen datos de [ORGANIZACION] deberán incluir: obligaciones de protección de datos y confidencialidad, requisitos de seguridad y controles mínimos, derecho de auditar o solicitar evidencia de auditoría, requisitos de notificación de violaciones (dentro de [PERSONALIZAR: 24/48/72] horas), devolución/destrucción de datos al momento de la terminación del contrato, cumplimiento con las regulaciones aplicables y disposiciones de responsabilidad e indemnización.

Los Acuerdos de Nivel de Servicio (SLA) deberán definir métricas de rendimiento de seguridad cuando sea aplicable.

La postura de seguridad de los terceros deberá monitorearse de forma continua utilizando: reevaluaciones periódicas según el calendario anterior, servicios automatizados de calificación de seguridad, revisión de violaciones o incidentes de seguridad divulgados públicamente y monitoreo del cumplimiento contractual.

Los terceros que experimenten una violación de seguridad que afecte los datos de [ORGANIZACION] deberán estar sujetos a reevaluación inmediata y posible remediación o terminación del contrato.