| 1 |
¿El proveedor ha creado una política de seguridad de la información con una frecuencia periódica de revisión? |
SI |
|
| 2 |
¿Se eliminan o desactivan las cuentas por defecto de los fabricantes o se cambian sus contraseñas inciales en los sistemas y/o dispositivos antes de su puesta en producción? |
SI |
|
| 2 |
¿Se requiere autenticación para los sistemas que almacenen, procesen o transporten datos del cliente? |
SI |
|
| 2 |
¿Existen reglas de seguridad para la construcción de las contraseñas para los sistemas y aplicaciones del proveedor? |
SI |
|
| 2 |
¿Se les obliga a los empleados del proveedor a cambiar periódicamente sus contraseñas? |
SI |
Para las labores críticas definidas |
| 2 |
¿Se ha establecido un procedimiento para la administración de perfiles de acceso del proveedor ? |
SI |
|
| 2 |
¿Existe un procedimiento formal y documentado para otorgar/eliminar/modificar acceso lógico a los sistemas y aplicaciones del proveedor que contienen o procesan información del cliente? |
SI |
|
| 3 |
¿Los usuarios disponen de identificadores únicos para el acceso a las aplicaciones? |
SI |
|
| 3 |
¿A los nuevos usuarios se les proporciona una contraseña inicial generada de manera aleatoria? |
SI |
|
| 3 |
¿A los nuevos usuarios se les fuerza el cambio de contraseña tras el primer acceso? |
SI |
|
| 3 |
¿El reiniciar las contraseñas de usuario está restringida a personas autorizadas y/o a una herramienta automatica? |
SI |
El servicio lo ofrece de manera automática |
| 3 |
¿Existe un procedimiento de administración de usuarios en el que se garantice que el acceso se otorga de acuerdo a roles? funcionalidades y privilegios mínimos? |
SI |
El servicio ofrece al cliente toda la granularidad que requiere para que él haga su propia definición |
| 3 |
¿Existen reglas de seguridad para la construcción de las contraseñas para acceder a los servicios? |
SI |
|
| 4 |
¿Existen acuerdos de confidencialidad firmados entre el proveedor y el cliente? |
SI |
|
| 4 |
¿El proveedor ha adoptado medidas que aseguren razonablemente la privacidad de la información que reciben de sus clientes y usuarios de servicios, conforme a la normatividad vigente sobre la materia? |
SI |
|
| 4 |
¿Tiene el proveedor un esquema de clasificación de la información(Restringida/Confidencial / /Interna/Pública) u otra similar? |
SI |
|
| 4 |
¿Se proporcionan mecanismos de devolución/regresión para el servicio y los datos en caso de finalización del contrato? |
N/A |
Sus datos están bajo la administración del cliente |
| 4 |
¿Tiene el proveedor procedimientos para desechar, eliminar y reutilizar equipos y medios de respaldo, de manera que cualquier dispositivo o medio de almacenamiento que se dé de baja, se bote o remate no contenga información del cliente, ni tampoco la información pueda ser recuperada por terceras personas? |
SI |
|
| 4 |
¿El proveedor encripta toda la información electrónica del cliente que transmite o transporta?. Describa la encriptación utilizada o los controles que la reemplazan si la encriptación no se usa. |
SI |
Protocolo HTTPS |
| 4 |
¿Existe un procedimiento para la liberación de parches y actualizaciones para los sistemas y aplicaciones del proveedor? |
SI |
|
| 5 |
¿Dispone de una política formalizada de gestión de incidentes de seguridad (incluyendo un plan documentado de identificación, respuesta, escalado y solución) ? |
SI |
|
| 5 |
¿La documentación relativa a los incidentes y soluciones a los mismos es registrada y almacenada? |
SI |
|
| 5 |
¿Se encuentran claramente identificadas las responsabilidades respecto a revisión y monitoreo de los incidentes de seguridad? |
SI |
|
| 5 |
¿El proveedor ha establecido un procedimiento formal para la atención de incidentes de seguridad, que además considere planes de resolución conforme a la criticidad del evento/problema detectado? |
SI |
|
| 6 |
¿El proveedor tiene políticas, normas y/o procedimientos para la selección del personal? |
SI |
|
| 6 |
¿Se ha definido claramente los roles y responsabilidades en seguridad de la información por parte del proveedor? |
SI |
|
| 7 |
¿Personal interno del proveedor y tercerizado recibe regularmente entrenamiento apropiado del conocimiento y actualización sobre políticas de Seguridad de la Información? |
SI |
|
| 8 |
¿El proveedor ha protegido sus redes internas de conexiones externas a través de firewall? |
SI |
|
| 8 |
¿Existen medidas para asegurar el nivel de servicio ante ataques de denegación de servicio DoS/DDoS? |
SI |
|
| 9 |
¿Los desarrolladores tienen restringido el acceso al entorno de producción? |
SI |
|
| 9 |
En caso que el proveedor desarrolle sistemas o aplicaciones que sean ocupados para entregar el servicio al cliente, responda ¿Existe metodología para el desarrollo, pruebas (Quality Assurance)? Ejemplo, autorización de paso a producción, etc. |
SI |
|
| 9 |
¿Esta prohibido dentro de la organización proveedora usar una base de datos con información del cliente para ser usada en ambiente de desarrollo o pruebas? |
SI |
|
| 10 |
¿El proveedor tiene controles de prevención de fraude interno y/o Externo, para evitar posibles daños económicos al cliente? |
SI |
|
| 10 |
¿El proveedor puede desarrollar investigaciones de fraudes , ya sea interno o externos, como apoyo para investigaciones por parte del cliente? |
SI |
|
| 11 |
¿El proveedor tiene procedimientos formales de control de seguridad física para sus instalaciones? |
SI |
|
| 11 |
¿El proveedor tiene procedimientos formales de control de seguridad física para su(s) Datacenter(s)? |
SI |
|
| 11 |
¿El proveedor mantiene controles físicos para su(s) Datacenter(s) y controles ambientales conforme a las especificaciones de los equipos (por ejemplo: valores de humedad, temperatura, eléctricas, entre otros)? |
SI |
|
| 11 |
¿El proveedor mantiene registro de los ingresos a su(s) Datacenter(s)? |
SI |
|
| 11 |
¿El proveedor posee controles para prevenir pérdidas, daños o robos de los activos, incluyendo la protección de los equipos frente a amenazas físicas y ambientales? |
SI |
|
| 11 |
¿El proveedor tiene CCTV Interno / Externo con sistema de almacenamiento de imágenes en su(s) Datacenter(s)? |
SI |
|
| 11 |
¿Las instalaciones del proveedor están protegidas por alarmas de detección de intrusos? |
SI |
|
| 12 |
¿El proveedor cuenta con una política, modelo y gestión formal de continuidad de negocio implementado y actualizado? |
SI |
Parcialmente |
| 12 |
¿Ha sufrido algún incidente de seguridad que requiriese la activación del Plan de Recuperación ante Desastres en los últimos 3 años? |
NO |
|
| 12 |
¿Existe un calendario anual de pruebas de Recuperación ante Desastres? |
NO |
En desarrollo |
| 12 |
¿El Plan de Continuidad de Negocio del proveedor incluye todos los procesos principales que soportan el procesamiento del cliente? |
SI |
|
| 13 |
¿El proveedor tiene controles que aseguren que los contratos con sus proveedores incluyan cláusulas de confidencialidad, Auditibilidad, de continuidad de negocio, niveles de servicio, multas y otras de cumplimiento de la industria? |
SI |
|
| 14 |
¿El proveedor tiene organismos reguladores o de reglamentación que lo rigen en el ámbito del cumplimiento? (por ejemplo, SOX, OSFI, etc.) |
NO |
Nos regimos por las mejores prácticas en cuanto a normativa de datos personales y Anti-Spam |
| 14 |
¿La empresa cuenta con un área definida de Seguridad de la Información? |
SI |
|
| 15 |
¿El proveedor tiene un procedimiento para el Transporte de Medios Electrónicos (Cintas, CD, DVD, etc.) que contengan información del cliente? |
N/A |
No se transporta información del cliente |
| 16 |
¿El proveedor tiene un procedimiento para el Transporte de documentos Valorados o Confidenciales del cliente? |
N/A |
No se transporta información del cliente |
| 17 |
¿El proveedor tiene procedimientos para identificar y solucionar fallas en el ambiente de red (routers, switches, firewalls, DNS, servers, etc.)? |
SI |
|
| 17 |
¿A sus aplicaciones e infraestructura de Internet WebHosting, el proveedor les realiza pruebas de calidad (Quality Assurance) antes de salir a producción? |
SI |
|
| 19 |
¿El proveedor tiene procedimientos documentados para el uso de plataformas específicas que tengan impacto con los servicios brindados al cliente? |
SI |
|
| 19 |
¿Los sub-contratantes del proveedor están alineados en temas de seguridad y de acuerdo a sus estándares? |
SI |
|
| 19 |
¿El proveedor ha establecido la política del buen uso de los equipos, entre ellos el correo electrónico? |
SI |
|
| 19 |
¿El proveedor cuenta con sistema antivirus con administración centralizada y con las últimas firmas? |
SI |
Por definición no se usa administración central |
| 20 |
¿Los sistemas en donde se procesan o almacenan datos del cliente son monitorizados para asegurar la disponibilidad del servicio? |
SI |
|
| 20 |
¿El servicio requiere de conexión con la infraestructura del cliente? |
NO |
|