SECURITY WISE S.A.C. y EL PROVEEDOR son responsables de cumplir estrictamente cada una de las obligaciones que se exponen a continuación, sobre la información de SECURITY WISE S.A.C. en virtud del presente contrato:
- SALVAGUARDAS
En todo momento que EL PROVEEDOR tenga acceso, almacene o procese información de SECURITY WISE S.A.C., mantendrá controles administrativos, técnicos y físicos destinados a garantizar la privacidad, integridad y confidencialidad de la Información de SECURITY WISE S.A.C. (“Salvaguardas”) que cumplan con los Estándares Aplicables y las Leyes Aplicables, incluso lo siguiente:
- ACCESO FÍSICO
EL PROVEEDOR mantendrá controles de Acceso físico destinados a asegurar las instalaciones, infraestructura, centros de datos, archivos en copia impresa, servidores, sistemas de respaldo y equipamiento relevantes (inclusive dispositivos móviles) usados para Acceder a la Información Protegida, incluso controles para evitar, detectar y responder a ataques, intrusiones u otras fallas del sistema.
- AUTENTICACIÓN DE USUARIO
EL PROVEEDOR mantendrá una autenticación de usuario, controles de Acceso y asignación de privilegios específicos dentro de los sistemas operativos, aplicaciones, equipamiento y medios.
- SEGURIDAD DEL PERSONAL
EL PROVEEDOR mantendrá políticas y prácticas de personal que restrinjan el Acceso a la Información de SECURITY WISE S.A.C. y tendrá inclusive contratos de confidencialidad por escrito y realizará verificaciones de antecedentes de acuerdo con las Leyes Aplicables sobre todo el personal que Acceda a Información de SECURITY WISE S.A.C. o que mantenga, implemente, o administre Su programa de seguridad de la información y las Salvaguardas.
- REGISTRO Y CONTROL
EL PROVEEDOR registrará y controlará los detalles de todo Acceso a Información Protegida en las redes, sistemas y dispositivos operados por EL PROVEEDOR. Sus sistemas de registro y control deben cumplir con los Estándares Aplicables y EL PROVEEDOR deberá mantener todos los registros de Acceso durante al menos 90 días.
- CONTROLES DE MALWARE
EL PROVEEDOR mantendrá controles antimalware actualizados y de marcas líderes del mercado para proteger todas sus redes, sistemas y dispositivos que Acceden a Información Protegida de SECURITY WISE S.A.C. contra malware y software no autorizado.
- PARCHES DE SEGURIDAD
EL PROVEEDOR mantendrá controles y procesos destinados a asegurar que sus redes, sistemas y dispositivos (inclusive los sistemas operativos y las aplicaciones) que Acceden a Información Protegida estén actualizados, lo que incluye la implementación inmediata de todos los parches de seguridad cuando estos se emitan, y/o cuando sean requeridos para subsanar fallos de seguridad.
- GESTIÓN DE LA CUENTA DEL USUARIO
EL PROVEEDOR implementará procedimientos de gestión de la cuenta del usuario para crear, modificar y eliminar de manera segura cuentas de usuario en las redes, los sistemas y los dispositivos a través de los cuales EL PROVEEDOR Accede a Información Protegida, lo que incluye el control de cuentas redundantes y el aseguramiento de que los propietarios de la información autoricen debidamente todas las solicitudes de cuenta de usuario. EL PROVEEDOR es responsable de proteger y cautelar las credenciales de acceso (usuarios y contraseñas, fotocheck y tarjetas de acceso físico) de uso exclusivo del PROVEEDOR que le sean asignadas por SECURITY WISE S.A.C. para el desempeño de sus funciones, teniendo en cuenta que estas credenciales permiten acceder a los diferentes sistemas informáticos y ambientes físicos de SECURITY WISE S.A.C. EL PROVEEDOR entiende y acepta que las credenciales de acceso son de uso personal y por ningún motivo debe revelarlas, transferirlas o compartirlas con terceras personas. EL PROVEEDOR reconoce que es responsable de toda acción que se realice con las credenciales de acceso asignadas en los sistemas informáticos de SECURITY WISE S.A.C. y las consecuencias que se deriven de un posible mal uso. En caso de que las credenciales asignadas al PROVEEDOR sean comprometidas, EL PROVEEDOR deberá de informar de manera inmediata a SECURITY WISE S.A.C.
- CONTROLES DE ACCESO
EL PROVEEDOR mantendrá controles como segregación de funciones, matriz de accesos, registros de logs de acceso y monitoreo de accesos a la información de SECURITY WISE S.A.C. para asegurar que solamente las personas que tengan una necesidad legítima de Acceder a la Información Protegida en virtud del Contrato tengan dicho Acceso; finalizará inmediatamente el Acceso a la Información Protegida por parte de una persona cuando ese Acceso ya no sea necesario para el cumplimiento del Contrato; registrará los detalles adecuados de Acceso a la Información Protegida en Sus sistemas y equipamiento, y conservará dichos registros durante al menos 90 días; y será responsable por cualquier Acceso no autorizado a la Información Protegida. En caso el PROVEEDOR cuente con accesos a los sistemas de SECURITY WISE S.A.C., deberá de informar de forma inmediata a SECURITY WISE S.A.C. cuando los accesos no sean requeridos o el personal que brinda el servicio haya sido desvinculado laboralmente.
- REQUISITOS DE CIFRADO
Mediante el uso de un estándar de cifrado vigente no vulnerado en el mercado global, EL PROVEEDOR cifrará toda la Información de SECURITY WISE S.A.C. que se almacene en dispositivos portátiles o medios electrónicos portátiles; medios lógicos que se mantengan fuera de SECURITY WISE S.A.C. o de sus instalaciones, excluyendo los documentos impresos; o transfiera a través de cualquier red que no sea la red interna de la empresa de propiedad o gestionada por EL PROVEEDOR.
- CAPACITACIÓN Y SUPERVISIÓN
EL PROVEEDOR proporcionará capacitación y supervisión continuos (mínimo anualmente) sobre seguridad de la información, privacidad y protección de la información para todo su personal, siempre que acceda a la información de SECURITY WISE S.A.C., incluso a través de la terminación de empleo y en función del nivel de Acceso a la Información de SECURITY WISE S.A.C. asignada a cada empleado.
- NORMAS DE CONDUCTA
EL PROVEEDOR impondrá normas de conducta y procedimientos apropiados (y hará cumplir dichas normas y procedimientos) que requieran que todo su personal, al Acceder a Información de SECURITY WISE S.A.C. o a sus sistemas, se comporte de una manera compatible con los requisitos de este Contrato, incluyendo, sin limitación, no realizar ninguna acción que pueda poner en peligro la seguridad de la información de SECURITY WISE S.A.C., realizar o intentar realizar cualquier Acceso no autorizado a la Información de SECURITY WISE S.A.C. o de sus sistemas, o utilizar la Información de SECURITY WISE S.A.C. para fines no autorizados.
- NOTIFICACIÓN DE INCIDENTES
EL PROVEEDOR notificará a SECURITY WISE S.A.C. de inmediato (en un plazo máximo de 24 horas) después de tomar conocimiento de cualquier incidente que pueda afectar la seguridad, privacidad, integridad o confidencialidad de la Información de SECURITY WISE S.A.C., incluyendo, sin limitación, cualquier violación de seguridad, robo o pérdida de Información de SECURITY WISE S.A.C., o Acceso no autorizado a la Información de SECURITY WISE S.A.C. o a los sistemas de SECURITY WISE S.A.C., y EL PROVEEDOR tomará todas las medidas necesarias para mitigar y remediar el incidente y sus consecuencias.
- AUDITORÍAS
En cualquier momento que SECURITY WISE S.A.C. lo solicite, EL PROVEEDOR proporcionará acceso a los auditores designados por SECURITY WISE S.A.C. para que revisen y evalúen la conformidad de EL PROVEEDOR con los requisitos de seguridad de la información de este Contrato, incluyendo la auditoría de los controles de seguridad de la información de EL PROVEEDOR, la revisión de los registros de Acceso, el monitoreo de la red y los registros de eventos, y la realización de pruebas de penetración y otros análisis de seguridad de la información.
- CUMPLIMIENTO DE LAS LEYES
EL PROVEEDOR cumplirá en todo momento con todas las leyes, normativas y estándares aplicables relacionados con la seguridad de la información, privacidad, protección de datos personales y ciberseguridad, incluso aquellas que se encuentren fuera del Perú.
Estos Términos Generales de Seguridad de la Información forman parte integrante del Contrato, y SECURITY WISE S.A.C. podrá modificar estos Términos Generales de Seguridad de la Información en cualquier momento mediante notificación por escrito a EL PROVEEDOR.
