A continuación, se describen los requisitos de seguridad de la información que nuestros proveedores y contratistas deben cumplir: 

• Todo proveedor y/o tercero que tenga acceso a los activos de información y preste servicios a ASESOFTWARE debe contar con políticas, normas y estándares de Seguridad de la Información al interior de su organización; las cuales deben desarrollarse y mantenerse actualizadas acorde con los riesgos a los que se ve enfrentada su organización.  

• Proteger la confidencialidad, integridad y disponibilidad de la información propiedad de ASESOFTWARE, así como la de sus clientes y terceros, cuando los servicios contratados así lo requieran; siempre que sea generada, almacenada o procesada como parte del desarrollo de la relación contractual que lo une a ASESOFTWARE.  

• Los proveedores sólo podrán desarrollar para ASESOFTWARE aquellas actividades cubiertas bajo el correspondiente contrato de prestación del servicio u otro equivalente.  

• La disponibilidad se rige por los acuerdos de niveles de servicio que estén explícitos en el marco del contrato u oferta que se haya establecido; en caso de no existir un acuerdo de nivel de servicio explícito, EL PROVEEDOR deberá actuar con la máxima diligencia para que la información de ASESOFTWARE esté disponible cuando ASESOFTWARE lo requiera. 

• Utilizar software legalmente adquirido, en cumplimiento de la Ley 603 de 2000 o las normas que la reemplacen, modifiquen o adicionen. Para el efecto mantendrá indemne a ASESOFTWARE de cualquier tipo de reclamación en tal sentido, y en caso de que ASESOFTWARE se vea obligada a pagar algún tipo de sanción por el incumplimiento de la citada disposición, EL PROVEEDOR se compromete a reembolsar a ASESOFTWARE, la totalidad de los gastos en que haya incurrido.  

• Todo Proveedor y/o tercero que preste el servicio de desarrollo de Software a ASESOFTWARE debe implementar normas o las mejores prácticas de la industria en el desarrollo de las aplicaciones para garantizar la seguridad de los sistemas.  

• Todo Proveedor y/o tercero que preste el servicio de desarrollo de Software a ASESOFTWARE antes de enviar una aplicación a producción o ponerla a disposición de ASESOFTWARE, debe realizar la revisión de los códigos fuente a través de un procedimiento manual o automático que permita identificar posibles vulnerabilidades en la codificación y su correspondiente solución. La no verificación de este procedimiento no exime a EL PROVEEDOR de su responsabilidad.  

• Hacer extensivo el acuerdo de confidencialidad y estás políticas a los funcionarios y terceros involucrados en el desarrollo de la relación contractual. 

• Informar a ASESOFTWARE los cambios o la instalación de nueva infraestructura tecnológica y/o física que haga parte del procesamiento de información de propiedad de ASESOFTWARE, sus clientes y/o terceros.  

• Colaborar y permitir a ASESOFTWARE. realizar auditorías sobre la infraestructura tecnológica y/o física que soporta la prestación de los servicios que hacen parte de la relación contractual, auditorías que deberán ser avisadas a EL PROVEEDOR con tres (3) días calendario de antelación, indicando los nombres y documentos de identidad de las personas que las realizarán que podrán ser trabajadores o personal externo autorizado de ASESOFTWARE. Para efectuar estas auditorías, las Partes tendrán en cuenta el cumplimiento del acuerdo de confidencialidad firmado entre ellas y con terceros. EL PROVEEDOR se compromete a poner a disposición de ASESOFTWARE a personal de EL PROVEEDOR que permita realizar las verificaciones correspondientes, así como documentación (física, digital) e infraestructura que facilite el desarrollo de la auditoría en buen término.  

• EL PROVEEDOR se obliga a contratar personal con las capacidades profesionales o técnicas requeridas para la relación contractual con ASESOFTWARE, en consecuencia, en el proceso de selección del personal que se requiera para el desarrollo de la relación contractual, EL PROVEEDOR debe hacer una verificación de datos de la hoja de vida, referencias y antecedentes de los candidatos involucrados en la relación contractual, además de lo estipulado en las políticas internas de contratación del personal de EL PROVEEDOR. 

• Establecer con ASESOFTWARE el procedimiento adecuado para el borrado seguro de la información propiedad de ASESOFTWARE, sus clientes y/o terceros. Este procedimiento deberá ser desarrollado antes o durante el transcurso de la relación contractual.  

• Controlar la salida de información propiedad de ASESOFTWARE que se encuentre alojada bajo los dispositivos que administra y controla EL PROVEEDOR, estos controles deberán ser notificados a ASESOFTWARE durante el transcurso de la relación contractual.  

• Informar a ASESOFTWARE cualquier fuga, pérdida o alteración de información de propiedad de ASESOFTWARE, sus clientes y/o usuarios y la correspondiente medida de mitigación.  

• EL PROVEEDOR evitará la revelación, modificación, destrucción o mal uso de la información relacionado con el servicio prestado a ASESOFTWARE. 

• Todo Proveedor y/o tercero que preste el servicio de alojamiento u otro servicio en la nube a ASESOFTWARE debe garantizar la segmentación de la red con el fin de restringir la entrada o salida de internet de los servidores o servicios prestados a ASESOFTWARE que no se encuentren en el segmento de la Zona Desmilitarizada DMZ. 

• EL PROVEEDOR responde directamente por el acceso que sus empleados tengan a documentos confidenciales de ASESOFTWARE y deberá entenderse que este acceso es estrictamente temporal, sin otorgarle derecho alguno de titularidad o copia sobre dicha información. Así mismo, el empleado deberá devolver el o los soportes mencionados, inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos y, en cualquier caso, a la finalización de la relación contractual entre EL PROVEEDOR y ASESOFTWARE.  

• Todo Proveedor y/o tercero que preste el servicio de alojamiento u otro servicio en la nube a ASESOFTWARE debe realizar pruebas de penetración y análisis de vulnerabilidades internas y externas al menos una vez al año, así como mantener actualizados los servidores y dispositivos de red internos y externos que prestan el servicio contratado. ASESOFTWARE podrá solicitar al proveedor los informes de resultados de la ejecución y remediación de estas actividades con sus respectivos hallazgos y evidencias.  

• Todo proveedor y/o tercero que esté relacionado con los procesos y activos críticos para el negocio de ASESOFTWARE, debe contar con Controles para evitar ataques contra la seguridad de la información y Plan de Contingencia y Continuidad del Negocio para los servicios prestados a ASESOFTWARE.  

Se prohíbe expresamente: 

• El uso de los recursos proporcionados por ASESOFTWARE para actividades no relacionadas con el servicio contratado.  

• La conexión a la red de ASESOFTWARE de equipos y/o aplicaciones que no estén autorizados por el analista de Seguridad de la Información.  

• Introducir en los Sistemas de Información o la Red de ASESOFTWARE contenidos inadecuados, obscenos, amenazadores, inmorales u ofensivos. 

• Introducir voluntariamente en la red de ASESOFTWARE cualquier tipo de malware (programas, macros, etc.), dispositivo lógico, dispositivo físico o cualquier otro tipo de secuencia de órdenes que causen o sean susceptibles de causar cualquier tipo de alteración o daño en los recursos informáticos.  

• Todo el personal o sistema con acceso a la red de ASESOFTWARE. tendrá la obligación de utilizar los programas antivirus licenciados con su base de firmas actualizado.  

• Intentar obtener sin autorización explícita otros derechos o accesos distintos a aquellos que ASESOFTWARE les haya asignado.  

• Intentar distorsionar o falsificar los registros “log” de los Sistemas de Información de ASESOFTWARE. 

• Todo proveedor y/o tercero que preste servicios a ASESOFTWARE debe cumplir con las regulaciones locales e internacionales de privacidad y seguridad de la información.  

• Para reportar un evento sospechoso o un incidente de seguridad asociado a las actividades desarrolladas para ASESOFTWARE, por favor póngase en contacto con el Líder de seguridad de la información de ASESOFTWARE a través de los siguientes canales de comunicación: 

Teléfono: +57(1) 6407414. 

Correo: seguridadinfo@asesoftware.com 

Consideraciones de seguridad para la cadena de suministro TIC 

Para ASESOFTWARE es de gran importancia establecer relaciones de confianza y seguras con sus proveedores, por lo que nuestra estrategia está basada en la gestión del riesgo que conllevan los productos o servicios contratados. De esta manera: 

• Cuando se requiera, el proveedor deberá facilitar la evidencia de la adherencia de los requisitos de seguridad indicados por ASESOFTWARE en el producto o servicio contratado. 

• El proveedor deberá contar con un proceso para informar cualquier cambio de seguridad de la información, incidente u otro evento relacionado con los servicios contratados.  

• ASESOFTWARE realizará evaluaciones de seguridad de la información durante la relación contractual al menos una vez al año o antes si existen cambios significativos en el negocio, legales, regulatorios o contractuales, por lo que el proveedor debe facilitar y participar de las revisiones realizadas.  

• El proveedor debe contar con un plan de transición que soporte la trasferencia del servicio cuando este ha sido operado previamente por otro agente.  

• Cada servicio o producto contratado deberá contar con un responsable el cual pueda actuar, verificar y desarrollar la mejora continua y trazabilidad de la operación contractual. Directamente, debe existir un interlocutor de ciberseguridad dispuesto por el proveedor.  

• El proveedor deberá participar activamente en la planificación, pruebas y activación de los planes de continuidad y respuesta a incidentes presentados durante la vigencia del contrato. 

• De acuerdo con el servicio o producto contratado, el proveedor debe mantener un protocolo para la divulgación de vulnerabilidades y notificación de incidentes.  

• El proveedor deberá comunicar a ASESOFTWARE, sin dilación indebida los incidentes de seguridad que involucren los Datos Personales transmitidos durante la prestación del servicio contratado. Así mismo, el proveedor debe indicar: 

• Protocolo de respuesta en el manejo de incidentes de seguridad.  

• Puntos o personas de contacto.  

• Procedimiento para el trámite de las consultas e inquietudes que puedan presentar ASESOFTWARE o los Titulares de la información. 

• Reporte de los incidentes de seguridad por parte de otros Encargados del Tratamiento, en caso de que se hayan hecho subencargos sobre cualquier operación del Tratamiento.