{"id":403,"date":"2024-09-04T13:30:37","date_gmt":"2024-09-04T13:30:37","guid":{"rendered":"https:\/\/bdrcyber.com\/?page_id=403"},"modified":"2024-09-04T13:30:37","modified_gmt":"2024-09-04T13:30:37","slug":"normativa-de-proveedores","status":"publish","type":"page","link":"https:\/\/bdrcyber.com\/?page_id=403","title":{"rendered":"Normativa de proveedores"},"content":{"rendered":"

[et_pb_section fb_built=\u00bb1″ _builder_version=\u00bb4.27.0″ _module_preset=\u00bbdefault\u00bb background_color=\u00bbRGBA(255,255,255,0)\u00bb background_image=\u00bbhttps:\/\/bdrcyber.com\/wp-content\/uploads\/2024\/08\/financial-technology-31c-300×135-1-e1724656231504.jpg\u00bb custom_padding=\u00bb26px|||||\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_row _builder_version=\u00bb4.27.0″ _module_preset=\u00bbdefault\u00bb custom_padding=\u00bb22px||0px|||\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_column type=\u00bb4_4″ _builder_version=\u00bb4.27.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_text _builder_version=\u00bb4.27.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n

Normativa de proveedores<\/span><\/h1>\n

[\/et_pb_text][et_pb_text _builder_version=\u00bb4.27.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n

\n
Seguridad de la informaci\u00f3n de proveedores<\/span><\/div>\n<\/div>\n
\n
Aprobado por: Esteban Fern\u00e1ndez (fecha: 15\/07\/2024)<\/span><\/div>\n<\/div>\n

[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=\u00bb4.27.0″ _module_preset=\u00bbdefault\u00bb custom_padding=\u00bb24px|||||\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_column type=\u00bb4_4″ _builder_version=\u00bb4.27.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_text _builder_version=\u00bb4.27.0″ _module_preset=\u00bbdefault\u00bb hover_enabled=\u00bb0″ sticky_enabled=\u00bb0″]<\/p>\n

1. Objeto<\/span><\/div>\n
El objeto de este documento es establecer el marco normativo en relaci\u00f3n con la seguridad de la informaci\u00f3n para las organizaciones proveedoras de BDR que acceden a su informaci\u00f3n, sistemas de informaci\u00f3n o recursos, con el fin de proteger su confidencialidad, integridad y disponibilidad.<\/span><\/div>\n
Para ello, las organizaciones proveedoras se responsabilizan de informar a sus personas empleadas y subcontratistas que prestan servicio a BDR.<\/span><\/div>\n
\u00a0<\/span><\/div>\n
2.\u00a0Alcance<\/span><\/div>\n
Todas las actividades desarrolladas para BDR por organizaciones proveedoras que acceden a su informaci\u00f3n, sistemas de informaci\u00f3n o recursos.<\/span><\/div>\n
El apartado \u201c3. Directrices generales\u201d es aplicable a cualquier organizaci\u00f3n proveedora, independientemente del tipo de servicio prestado.<\/span><\/div>\n
El apartado \u201c4. Directrices espec\u00edficas\u201d es aplicable exclusivamente a aquellas organizaciones proveedoras cuyos servicios proporcionados se correspondan con el tipo de servicio indicado en cada caso, tal y como se indica al comienzo del citado apartado.<\/span><\/div>\n
\u00a0<\/span><\/div>\n
3.\u00a0Directrices generales<\/span><\/div>\n
3.1.\u00a0Prestaci\u00f3n del servicio<\/span><\/div>\n
Las organizaciones proveedoras s\u00f3lo podr\u00e1n desarrollar para BDR aquellas actividades cubiertas bajo el correspondiente contrato de prestaci\u00f3n de servicios.<\/span><\/div>\n
La organizaci\u00f3n proveedora proporcionar\u00e1 a BDR peri\u00f3dicamente la relaci\u00f3n de personas, perfiles, funciones y responsabilidades asociados al servicio prestado, e informar\u00e1 puntualmente de cualquier cambio (alta, baja, sustituci\u00f3n o cambio de funciones o responsabilidades) que se produzca en dicha relaci\u00f3n.<\/span><\/div>\n
De acuerdo con lo establecido en las cl\u00e1usulas asociadas al contrato de prestaci\u00f3n de servicios, todas las personas externas que desarrollen labores para BDR deber\u00e1n cumplir las normas de seguridad recogidas en el presente documento. En caso de incumplimiento de cualquiera de estas obligaciones, BDR se reserva el derecho de veto a la persona que haya cometido la infracci\u00f3n, as\u00ed como la adopci\u00f3n de las medidas sancionadoras que se consideren pertinentes en relaci\u00f3n con la organizaci\u00f3n proveedora.<\/span><\/div>\n
La organizaci\u00f3n proveedora deber\u00e1 asegurar que todas sus personas tienen la capacitaci\u00f3n apropiada para el desarrollo del servicio prestado.<\/span><\/div>\n
Cualquier tipo de intercambio de informaci\u00f3n que se produzca entre BDR y la organizaci\u00f3n proveedora se entender\u00e1 que ha sido realizado dentro del marco establecido por el contrato de prestaci\u00f3n de servicios correspondiente, de modo que dicha informaci\u00f3n no podr\u00e1 ser utilizada fuera de dicho marco ni para otros fines.<\/span><\/div>\n
T.I. centraliza los esfuerzos globales de protecci\u00f3n de los activos de BDR<\/span><\/div>\n
De forma gen\u00e9rica, los activos incluyen:<\/span><\/div>\n
    \n
  • La informaci\u00f3n protegida, es decir, aquella informaci\u00f3n que permite identificar a personas f\u00edsicas y\/o jur\u00eddicas, y aquella relativa a la configuraci\u00f3n de los sistemas de informaci\u00f3n y las redes de comunicaciones.<\/span><\/li>\n
  • Los asociados para el tratamiento de la informaci\u00f3n protegida (software, hardware, redes de comunicaciones, soportes de informaci\u00f3n, equipamiento auxiliar e instalaciones).<\/span><\/li>\n<\/ul>\n
    \u00a0<\/span><\/div>\n
    3.2.\u00a0Confidencialidad de la informaci\u00f3n<\/span><\/div>\n
    Las personas externas que tengan acceso a informaci\u00f3n de BDR deber\u00e1n considerar que dicha informaci\u00f3n, por defecto, tiene el car\u00e1cter de protegida. S\u00f3lo se podr\u00e1 considerar como informaci\u00f3n no protegida aquella informaci\u00f3n a la que haya tenido acceso a trav\u00e9s de los medios de difusi\u00f3n p\u00fablica de informaci\u00f3n dispuestos a tal efecto por BDR.<\/span><\/div>\n
    Se evitar\u00e1 la revelaci\u00f3n, modificaci\u00f3n, destrucci\u00f3n o mal uso de la informaci\u00f3n cualquiera que sea el soporte en el que se encuentre.<\/span><\/div>\n
    Se guardar\u00e1 por tiempo indefinido la m\u00e1xima reserva y no se emitir\u00e1 al exterior informaci\u00f3n protegida, salvo que est\u00e9 debidamente autorizado.<\/span><\/div>\n
    Se minimizar\u00e1 el n\u00famero de informes en formato papel que contengan informaci\u00f3n protegida y se mantendr\u00e1n los mismos en lugar seguro y fuera del alcance de terceras personas.<\/span><\/div>\n
    En el caso de que, por motivos directamente relacionados con el puesto de trabajo, la persona empleada de la organizaci\u00f3n proveedora entre en posesi\u00f3n de informaci\u00f3n protegida contenida en cualquier tipo de soporte, deber\u00e1 entender que dicha posesi\u00f3n es estrictamente temporal, con obligaci\u00f3n de secreto y sin que ello le confiera derecho alguno de posesi\u00f3n, titularidad o copia sobre dicha informaci\u00f3n. Asimismo, la persona empleada deber\u00e1 devolver el o los soportes mencionados, inmediatamente despu\u00e9s de la finalizaci\u00f3n de las tareas que han originado el uso temporal de los mismos y, en cualquier caso, a la finalizaci\u00f3n de la relaci\u00f3n con BDR de su empresa.<\/span><\/div>\n
    Todas estas obligaciones continuar\u00e1n vigentes tras la finalizaci\u00f3n de las actividades que las personas externas desarrollen para BDR.<\/span><\/div>\n
    El incumplimiento de estas obligaciones puede constituir un delito de revelaci\u00f3n de secretos.<\/span><\/div>\n
    Para garantizar la seguridad de los datos de car\u00e1cter personal, las personas de la organizaci\u00f3n proveedora deber\u00e1n observar las siguientes normas de actuaci\u00f3n, adem\u00e1s de las consideraciones ya mencionadas:<\/span><\/div>\n
      \n
    • Solo podr\u00e1n crear ficheros cuando sea necesario para el desempe\u00f1o de su trabajo. Estos ficheros temporales nunca ser\u00e1n guardados en unidades locales de disco de los puestos PC de las personas usuarias y deber\u00e1n ser destruidos cuando hayan dejado de ser \u00fatiles para la finalidad para la que se crearon.<\/span><\/li>\n
    • No se albergar\u00e1n datos de car\u00e1cter personal en las unidades locales de disco de los puestos PC de persona usuaria.<\/span><\/li>\n
    • La salida de soportes y documentos (env\u00edo de e-mails incluido), fuera de los locales en los que est\u00e9 ubicada dicha informaci\u00f3n, \u00fanicamente podr\u00e1 ser autorizada por BDR y se realizar\u00e1 seg\u00fan el procedimiento definido.<\/span><\/li>\n
    • Los soportes y documentos deber\u00e1n permitir identificar el tipo de informaci\u00f3n que contienen, ser inventariados y almacenarse en un lugar de acceso restringido a las personas autorizadas.<\/span><\/li>\n
    • La transmisi\u00f3n de datos de car\u00e1cter personal especialmente protegidos (p.e. Salud), a trav\u00e9s de redes de telecomunicaciones (p.e. Correo electr\u00f3nico) se realizar\u00e1 cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informaci\u00f3n no sea inteligible ni manipulada por terceras personas.<\/span><\/li>\n<\/ul>\n
      \u00a0<\/span><\/div>\n
      3.3. Propiedad intelectual<\/span><\/div>\n
      Se garantizar\u00e1 el cumplimiento de las restricciones legales al uso del material protegido por la normativa de propiedad intelectual.<\/span><\/div>\n
      Las personas usuarias \u00fanicamente podr\u00e1n utilizar material autorizado por BDR para el desarrollo de sus funciones.<\/span><\/div>\n
      Queda estrictamente prohibido el uso de programas inform\u00e1ticos sin la correspondiente licencia en los sistemas de informaci\u00f3n de BDR.<\/span><\/div>\n
      Asimismo, queda prohibido el uso, reproducci\u00f3n, cesi\u00f3n, transformaci\u00f3n o comunicaci\u00f3n p\u00fablica de cualquier tipo de obra o invenci\u00f3n protegida por la propiedad intelectual sin la debida autorizaci\u00f3n por escrito.<\/span><\/div>\n
      BDR \u00fanicamente autorizar\u00e1 el uso de material producido por \u00e9l mismo, o material autorizado o suministrado al mismo por su titular, conforme los t\u00e9rminos y condiciones acordadas y lo dispuesto por la normativa vigente.<\/span><\/div>\n
      \u00a0<\/span><\/div>\n
      3.4. Intercambio de informaci\u00f3n<\/span><\/div>\n
      Ninguna persona deber\u00e1 ocultar o manipular su identidad en ninguna circunstancia.<\/span><\/div>\n
      La distribuci\u00f3n de informaci\u00f3n ya sea en formato electr\u00f3nico o f\u00edsico se realizar\u00e1 mediante los recursos determinados en el contrato de prestaci\u00f3n de servicios para tal cometido y para la finalidad exclusiva de facilitar las funciones asociadas a dicho contrato. BDR se reserva, en funci\u00f3n del riesgo identificado, la implantaci\u00f3n de medidas de control, registro y auditor\u00eda sobre estos recursos de difusi\u00f3n.<\/span><\/div>\n
      En relaci\u00f3n con el intercambio de informaci\u00f3n dentro del marco del contrato de prestaci\u00f3n de servicios, se considerar\u00e1n no autorizadas las siguientes actividades:<\/span><\/div>\n
        \n
      • Transmisi\u00f3n o recepci\u00f3n de material protegido por los derechos de autor infringiendo la Ley de Protecci\u00f3n Intelectual.<\/span><\/li>\n
      • Transmisi\u00f3n o recepci\u00f3n de toda clase de material pornogr\u00e1fico, de naturaleza sexual expl\u00edcita, declaraciones discriminatorias raciales y cualquier otra clase de declaraci\u00f3n o mensaje clasificable como ofensivo o ilegal.<\/span><\/li>\n
      • Transferencia de informaci\u00f3n protegida a terceras partes no autorizadas.<\/span><\/li>\n
      • Transmisi\u00f3n o recepci\u00f3n de aplicaciones no relacionadas con el negocio.<\/span><\/li>\n
      • Participaci\u00f3n en actividades de Internet, como grupos de noticias, juegos u otras que no est\u00e9n directamente relacionadas con la prestaci\u00f3n del servicio.<\/span><\/li>\n<\/ul>\n
        Todas las actividades que puedan da\u00f1ar la imagen y reputaci\u00f3n de BDR est\u00e1n prohibidas en Internet y en cualquier otro lugar.<\/span><\/div>\n
        \u00a0<\/span><\/div>\n
        3.5. Uso apropiado de los recursos<\/span><\/div>\n
        La organizaci\u00f3n proveedora se compromete a informar peri\u00f3dicamente a BDR de los activos con los que proporciona el servicio.<\/span><\/div>\n
        La organizaci\u00f3n proveedora se compromete a utilizar los recursos dispuestos para la prestaci\u00f3n del servicio de acuerdo con las condiciones para las que fueron dise\u00f1ados e implantados.<\/span><\/div>\n
        Los recursos que BDR pone a disposici\u00f3n de las personas externas, independientemente del tipo que sean (inform\u00e1ticos, datos, software, redes, sistemas de comunicaci\u00f3n, etc.), est\u00e1n disponibles exclusivamente para cumplimentar las obligaciones y prop\u00f3sito de la operativa para la que fueron proporcionados. BDR se reserva el derecho de implementar mecanismos de control y auditor\u00eda que verifiquen el uso apropiado de estos recursos.<\/span><\/div>\n
        Todos los equipos de la organizaci\u00f3n proveedora que se conecten a la red de producci\u00f3n de BDR ser\u00e1n de las marcas y modelos homologados. La organizaci\u00f3n proveedora pondr\u00e1 a disposici\u00f3n de BDR dichos equipos para que \u00e9ste coordine la instalaci\u00f3n del software homologado y los configure apropiadamente.<\/span><\/div>\n
        Cualquier fichero introducido en la red de BDR o en cualquier equipo conectado a ella a trav\u00e9s de soportes automatizados, Internet, correo electr\u00f3nico o cualquier otro medio, deber\u00e1 cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual, protecci\u00f3n de datos de car\u00e1cter personal, y control de malware.<\/span><\/div>\n
        Se deber\u00e1n restituir a BDR todos los activos, sin retraso injustificado, despu\u00e9s de la finalizaci\u00f3n del contrato. Todos los ordenadores personales a los que BDR les haya instalado software se llevar\u00e1n a BDR para que se formatee el disco duro a la finalizaci\u00f3n del servicio.<\/span><\/div>\n
        Se proh\u00edbe expresamente:<\/span><\/div>\n
          \n
        • El uso de los recursos proporcionados por BDR para actividades no relacionadas con el prop\u00f3sito del servicio.<\/span><\/li>\n
        • La conexi\u00f3n a la red de producci\u00f3n de BDR de equipos y\/o aplicaciones que no est\u00e9n especificados como parte del software o de los est\u00e1ndares de los recursos inform\u00e1ticos propios.<\/span><\/li>\n
        • Introducir en los sistemas de informaci\u00f3n o la red corporativa de BDR contenidos obscenos, amenazadores, inmorales u ofensivos.<\/span><\/li>\n
        • Introducir voluntariamente en la red corporativa de BDR cualquier tipo de malware (virus, gusanos, troyanos, programas esp\u00eda, ransomware, \u2026), dispositivo l\u00f3gico, dispositivo f\u00edsico o cualquier otro tipo de secuencia de \u00f3rdenes que causen o sean susceptibles de causar cualquier tipo de alteraci\u00f3n o da\u00f1o en los recursos inform\u00e1ticos. Todas las personas con acceso a la red de BDR tendr\u00e1n la obligaci\u00f3n de utilizar programas antimalware actualizados.<\/span><\/li>\n
        • Obtener sin autorizaci\u00f3n expl\u00edcita otros derechos o accesos distintos a aquellos que BDR les haya asignado.<\/span><\/li>\n
        • Acceder sin autorizaci\u00f3n expl\u00edcita a \u00e1reas restringidas de los sistemas de informaci\u00f3n de BDR<\/span><\/li>\n
        • Distorsionar o falsear los registros \u201clog\u201d de los sistemas de informaci\u00f3n de BDR<\/span><\/li>\n
        • Descifrar sin autorizaci\u00f3n expl\u00edcita las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telem\u00e1ticos de BDR<\/span><\/li>\n
        • Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo de otras personas usuarias, ni da\u00f1ar o alterar los recursos inform\u00e1ticos de BDR<\/span><\/li>\n
        • Destruir, alterar, inutilizar o cualquier otra forma de da\u00f1ar los datos, programas o documentos electr\u00f3nicos con informaci\u00f3n protegida (estos actos pueden constituir un delito).<\/span><\/li>\n
        • Albergar informaci\u00f3n protegida en las unidades locales de disco de los puestos PC de persona usuaria.<\/span><\/li>\n<\/ul>\n
          \u00a0<\/span><\/div>\n
          3.6.\u00a0Responsabilidades de la persona usuaria<\/span><\/div>\n
          Las organizaciones proveedoras de servicios deber\u00e1n asegurarse de que todas las personas que desarrollan labores para BDR respeten los siguientes principios b\u00e1sicos dentro de su actividad:<\/span><\/div>\n
            \n
          • Cada persona con acceso a informaci\u00f3n de BDR es responsable de la actividad desarrollada por su identificador de persona usuaria y todo lo que de \u00e9l se derive. Por lo tanto, es imprescindible que cada persona mantenga bajo control los sistemas de autenticaci\u00f3n asociados a su identificador de persona usuaria, garantizando que la clave asociada sea \u00fanicamente conocida por la propia persona usuaria, no debiendo revelarse al resto de las personas bajo ning\u00fan concepto.<\/span><\/li>\n
          • Las personas usuarias no deber\u00e1n utilizar ning\u00fan identificador de otra persona usuaria, aunque dispongan de la autorizaci\u00f3n del propietario.<\/span><\/li>\n
          • Las personas usuarias conocen y aplican los requisitos y procedimientos existentes en torno a la informaci\u00f3n manejada.<\/span><\/li>\n<\/ul>\n
            Cualquier persona con acceso a la informaci\u00f3n protegida deber\u00e1 seguir las siguientes directivas en relaci\u00f3n con la gesti\u00f3n de las contrase\u00f1as:<\/span><\/div>\n
              \n
            • Seleccionar contrase\u00f1as de calidad, es decir, dif\u00edcilmente adivinables por el resto de las personas usuarias.<\/span><\/li>\n
            • Pedir el cambio de la contrase\u00f1a siempre que exista un posible indicio de conocimiento por parte de otras personas usuarias.<\/span><\/li>\n
            • Cambiar las contrase\u00f1as como m\u00ednimo una vez cada 90 d\u00edas y evitar la reutilizaci\u00f3n de antiguas contrase\u00f1as.<\/span><\/li>\n
            • Cambiar las contrase\u00f1as por defecto y las temporales en el primer inicio de sesi\u00f3n (\u201clogin\u201d).<\/span><\/li>\n
            • Evitar incluir contrase\u00f1as en los procesos automatizados de inicio de sesi\u00f3n (p.e. Aquellas almacenadas en navegadores).<\/span><\/li>\n
            • Notificar cualquier incidente de seguridad relacionada con sus contrase\u00f1as como p\u00e9rdida, robo o indicio de p\u00e9rdida de confidencialidad.<\/span><\/li>\n<\/ul>\n
              Cualquier persona con acceso a la informaci\u00f3n protegida deber\u00e1 velar por que los equipos queden protegidos cuando vayan a quedar desatendidos.<\/span><\/div>\n
              Cualquier persona con acceso a informaci\u00f3n protegida deber\u00e1 respetar al menos las siguientes normas de escritorio limpio, con el fin de proteger los documentos en papel, soportes inform\u00e1ticos y dispositivos port\u00e1tiles de almacenamiento y reducir los riesgos de acceso no autorizado, p\u00e9rdida y da\u00f1o de la informaci\u00f3n, tanto durante el horario normal de trabajo como fuera del mismo:<\/span><\/div>\n
                \n
              • Almacenar bajo llave los documentos en papel y los medios inform\u00e1ticos, cuando no est\u00e1n siendo utilizados, especialmente fuera del horario de trabajo.<\/span><\/li>\n
              • Bloquear las sesiones de persona usuaria o apagar el PC al dejarlo desatendido.<\/span><\/li>\n
              • Proteger tanto los puntos de recepci\u00f3n y env\u00edo de informaci\u00f3n (correo postal, m\u00e1quinas de scanner y fax) como los equipos de duplicado (fotocopiadora, fax y scanner). La reproducci\u00f3n o env\u00edo de informaci\u00f3n con este tipo de dispositivos quedar\u00e1 bajo la responsabilidad de la persona usuaria.<\/span><\/li>\n
              • Retirar, sin retraso injustificado, cualquier informaci\u00f3n protegida una vez impresa.<\/span><\/li>\n
              • Destruir la informaci\u00f3n protegida una vez no sea necesaria.<\/span><\/li>\n
              • Las personas con acceso a sistemas y\/o informaci\u00f3n de BDR nunca deber\u00e1n, sin autorizaci\u00f3n por escrito, realizar pruebas para detectar y\/o explotar una supuesta debilidad, evento o incidente de seguridad.<\/span><\/li>\n
              • Ninguna persona con acceso a sistemas y\/o informaci\u00f3n de BDR intentar\u00e1 sin autorizaci\u00f3n expresa y por escrito por ning\u00fan medio transgredir el sistema de seguridad y las autorizaciones. Se proh\u00edbe la captura de tr\u00e1fico de red por parte de las personas usuarias, salvo que se est\u00e9n llevando a cabo tareas de auditor\u00eda autorizadas por escrito.<\/span><\/li>\n
              • Todas las personas que accedan a la informaci\u00f3n protegida deber\u00e1n seguir las siguientes normas de actuaci\u00f3n:<\/span><\/li>\n
              • Proteger la informaci\u00f3n protegida de toda revelaci\u00f3n no autorizada, modificaci\u00f3n, destrucci\u00f3n o uso incorrecto, ya sea accidental o no.<\/span><\/li>\n
              • Proteger todos los sistemas de informaci\u00f3n y redes de telecomunicaciones contra accesos o usos no autorizados, interrupciones de operaciones, destrucci\u00f3n, mal uso o robo.<\/span><\/li>\n
              • Contar con la autorizaci\u00f3n necesaria para obtener el acceso a los sistemas de informaci\u00f3n y\/o la informaci\u00f3n.<\/span><\/li>\n<\/ul>\n
                \u00a0<\/span><\/div>\n
                3.7.\u00a0Equipo de persona usuaria<\/span><\/div>\n
                Las organizaciones proveedoras de servicios deber\u00e1n asegurarse de que todo el equipamiento inform\u00e1tico de persona usuaria utilizado para acceder a informaci\u00f3n protegida cumple las siguientes normas:<\/span><\/div>\n
                  \n
                • Ante la inactividad de la persona usuaria, el equipo deber\u00e1 bloquearse autom\u00e1ticamente en un plazo m\u00e1ximo de 15 minutos.<\/span><\/li>\n
                • Ning\u00fan equipo de persona usuaria dispondr\u00e1 de herramientas que puedan transgredir los sistemas de seguridad y las autorizaciones.<\/span><\/li>\n
                • Los equipos de persona usuaria se mantendr\u00e1n de acuerdo con las especificaciones del fabricante.<\/span><\/li>\n
                • Todos los equipos de persona usuaria estar\u00e1n adecuadamente protegidos frente a malware:<\/span><\/li>\n<\/ul>\n
                    \n
                  1. El software antimalware se deber\u00e1 instalar y usar en todos los ordenadores personales para reducir el riesgo operacional asociado con los virus u otro software malicioso.<\/span><\/li>\n
                  2. Se mantendr\u00e1n al d\u00eda con las \u00faltimas actualizaciones de seguridad disponibles.<\/span><\/li>\n
                  3. El software antimalware deber\u00e1 estar siempre habilitado y actualizado.<\/span><\/li>\n<\/ol>\n
                    Se velar\u00e1 especialmente por la seguridad de todos los equipos m\u00f3viles de persona usuaria que contengan informaci\u00f3n protegida o permitan acceder a ella de alg\u00fan modo:<\/span><\/div>\n
                      \n
                    • Verificando que no incluyen m\u00e1s informaci\u00f3n que la que sea estrictamente necesaria.<\/span><\/li>\n
                    • Garantizando que se aplican controles de acceso a dicha informaci\u00f3n.<\/span><\/li>\n
                    • Minimizando los accesos a dicha informaci\u00f3n en presencia de personas ajenas al servicio prestado.<\/span><\/li>\n
                    • Transportando los equipos en fundas, maletines o equipamiento similar que incorpore la apropiada protecci\u00f3n frente a agentes ambientales.<\/span><\/li>\n<\/ul>\n
                      \u00a0<\/span><\/div>\n
                      3.8. Gesti\u00f3n del equipamiento hardware<\/span><\/div>\n
                      Las organizaciones proveedoras de servicios deber\u00e1n asegurarse de que todos los equipos proporcionados por BDR para la prestaci\u00f3n de servicios, independientemente del tipo que sean, se gestionan apropiadamente. Para ello deber\u00e1n cumplir las siguientes normas:<\/span><\/div>\n
                        \n
                      • La organizaci\u00f3n proveedora deber\u00e1 mantener una relaci\u00f3n actualizada de equipos proporcionados por BDR y personas usuarias de dichos activos, o personas responsables asociadas en caso de que los activos no sean de uso unipersonal. Dicha relaci\u00f3n podr\u00e1 ser requerida por BDR.<\/span><\/li>\n
                      • Siempre que una organizaci\u00f3n proveedora quiera reasignar alg\u00fan equipo de BDR que haya contenido informaci\u00f3n protegida deber\u00e1 devolverlo temporalmente para que se puedan llevar a cabo los procedimientos de borrado seguro necesarios de forma previa a su reasignaci\u00f3n.<\/span><\/li>\n
                      • En caso de que una organizaci\u00f3n proveedora quiera dar de baja de la relaci\u00f3n de equipos de BDR recibidos alguno de ellos, siempre deber\u00e1 devolverlos, para que BDR pueda tratar dicha baja de forma apropiada.<\/span><\/li>\n
                      • En caso de que una organizaci\u00f3n proveedora cese en la prestaci\u00f3n del servicio, deber\u00e1 devolver a BDR toda la relaci\u00f3n de equipos recibidos, tal y como establecen los correspondientes contratos de prestaci\u00f3n de servicios. S\u00f3lo en el caso de documentos en papel y soportes inform\u00e1ticos la organizaci\u00f3n proveedora podr\u00e1 proceder a su eliminaci\u00f3n segura, en cuyo caso deber\u00e1 notificar a BDR dicha eliminaci\u00f3n.<\/span><\/li>\n<\/ul>\n
                        \u00a0<\/span><\/div>\n
                        4. Directrices espec\u00edficas<\/span><\/div>\n
                        4.1.\u00a0\u00c1mbito de aplicaci\u00f3n<\/span><\/div>\n
                        Todas las organizaciones proveedoras deber\u00e1n cumplir, adem\u00e1s de las normas generales, las espec\u00edficas recogidas en el presente apartado que les correspondan en cada caso, en funci\u00f3n de las caracter\u00edsticas del servicio prestado a BDR.<\/span><\/div>\n
                        Las tipolog\u00edas de servicio que se contemplan son las que se indican a continuaci\u00f3n.<\/span><\/div>\n
                          \n
                        • Lugar de ejecuci\u00f3n del servicio: En funci\u00f3n del lugar principal en el que se desarrollen los servicios se distinguen dos casos:<\/span><\/li>\n<\/ul>\n
                            \n
                          1. BDR: La organizaci\u00f3n proveedora presta el servicio principalmente desde la propia sede de BDR.<\/span><\/li>\n
                          2. Remoto: La organizaci\u00f3n proveedora presta el servicio principalmente desde sus propias dependencias, pese a que se puedan llevar a cabo actividades puntuales en la sede de BDR.<\/span><\/li>\n<\/ol>\n
                              \n
                            • Propiedad de las infraestructuras TIC utilizadas: En funci\u00f3n de qui\u00e9n sea el propietario de las principales infraestructuras TIC (comunicaciones, equipos de persona usuaria, software) utilizadas para prestar el servicio se distinguen dos casos:<\/span><\/li>\n<\/ul>\n
                                \n
                              1. BDR.<\/span><\/li>\n
                              2. Organizaci\u00f3n proveedora.<\/span><\/li>\n<\/ol>\n
                                  \n
                                • Nivel de acceso a los sistemas de BDR: En funci\u00f3n del nivel de acceso a los sistemas de informaci\u00f3n de BDR se distinguen tres casos:<\/span><\/li>\n<\/ul>\n
                                    \n
                                  1. Con acceso privilegiado: El servicio prestado requiere del acceso privilegiado a los sistemas de informaci\u00f3n de BDR, con capacidad para administrar dichos sistemas y\/o los datos de producci\u00f3n que procesan.<\/span><\/li>\n
                                  2. Con acceso de nivel de persona usuaria: El servicio prestado requiere de la utilizaci\u00f3n de los sistemas de informaci\u00f3n de BDR, de modo que las personas que prestan el servicio disponen de cuentas de persona usuaria que les permiten acceder a alguno de dichos sistemas con privilegios habituales.<\/span><\/li>\n
                                  3. Sin acceso: El servicio prestado no requiere de la utilizaci\u00f3n de los sistemas de informaci\u00f3n de BDR, de modo que las personas que prestan el servicio no disponen de cuentas de persona usuaria en dichos sistemas.<\/span><\/li>\n<\/ol>\n
                                    En funci\u00f3n de cada una de las tres categor\u00edas en las que se encuadre cada servicio, la organizaci\u00f3n proveedora deber\u00e1 cumplir, adicionalmente a las normas generales de seguridad, las espec\u00edficas recogidas en los apartados que se indican en la siguiente tabla:<\/span><\/div>\n
                                    \n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
                                    \n
                                    \u00a0<\/i><\/span><\/div>\n<\/td>\n
                                    		\n
                                    LUGAR<\/i><\/span><\/div>\n<\/td>\n
                                    		\n
                                    INFRAESTRUCTURA<\/i><\/span><\/div>\n<\/td>\n
                                    		\n
                                    ACCESO<\/i><\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    BDR<\/i><\/span><\/div>\n<\/td>\n
                                    		\n
                                    Remoto<\/i><\/span><\/div>\n<\/td>\n
                                    		\n
                                    BDR<\/i><\/span><\/div>\n<\/td>\n
                                    		\n
                                    Organizaci\u00f3n proveedora<\/i><\/span><\/div>\n<\/td>\n
                                    		\n
                                    Privilegiado<\/i><\/span><\/div>\n<\/td>\n
                                    		\n
                                    Normal<\/i><\/span><\/div>\n<\/td>\n
                                    		\n
                                    Sin acceso<\/i><\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    selecci\u00f3n de personas<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    auditor\u00eda de seguridad<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    comunicaci\u00f3n de incidentes<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    seguridad f\u00edsica<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    gesti\u00f3n de activos<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    arquitectura seguridad<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    seguridad sistemas<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    seguridad red<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    trazabilidad de uso de los sistemas<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    control y gesti\u00f3n de identidades y accesos<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    gesti\u00f3n cambios<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    gesti\u00f3n t\u00e9cnica de cambios<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    seguridad en desarrollo<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n
                                    \n
                                    gesti\u00f3n contingencias<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    S\u00cd<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n
                                    		\n
                                    NO<\/span><\/div>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n
                                    \u00a0<\/span><\/div>\n
                                    4.2.\u00a0Selecci\u00f3n de personas<\/span><\/div>\n
                                    La organizaci\u00f3n proveedora deber\u00e1 verificar los antecedentes profesionales de las personas asignadas al servicio, garantizando a BDR que en el pasado no ha sido sancionado por mala praxis profesional ni se ha visto envuelto en incidentes relacionadas con la confidencialidad de la informaci\u00f3n tratada que le hayan supuesto alg\u00fan tipo de sanci\u00f3n.<\/span><\/div>\n
                                    La organizaci\u00f3n proveedora deber\u00e1 garantizar a BDR la posibilidad de baja inmediata de las personas asignadas al servicio de cualquier persona en relaci\u00f3n con la cual BDR desee ejercer el derecho de veto, de acuerdo con los condicionantes establecidos en el apartado \u201c3.1. Prestaci\u00f3n del servicio\u201d.<\/span><\/div>\n
                                    \u00a0<\/span><\/div>\n
                                    4.3.\u00a0Auditor\u00eda de seguridad<\/span><\/div>\n
                                    La organizaci\u00f3n proveedora deber\u00e1 permitir que BDR lleve a cabo las auditor\u00edas de seguridad solicitadas, colaborando con el equipo auditor y facilitando todas las evidencias y registros le sean requeridos.<\/span><\/div>\n
                                    El alcance y profundidad de cada auditor\u00eda ser\u00e1 establecido expresamente por BDR en cada caso. Las auditor\u00edas se llevar\u00e1n a cabo siguiendo la planificaci\u00f3n que se acuerde en cada caso con la organizaci\u00f3n proveedora del servicio.<\/span><\/div>\n
                                    BDR se reserva el derecho de realizar auditor\u00edas extraordinarias adicionales, siempre que se den causas espec\u00edficas que lo justifiquen.<\/span><\/div>\n
                                    \u00a0<\/span><\/div>\n
                                    4.4.\u00a0Comunicaci\u00f3n de incidentes<\/span><\/div>\n
                                    Cuando detecte cualquier vulnerabilidad, evento y\/o incidente de seguridad de la informaci\u00f3n deber\u00e1 notificarlo inmediatamente a trav\u00e9s del buz\u00f3n de correo electr\u00f3nico BDR.<\/span><\/div>\n
                                    Cualquier persona usuaria podr\u00e1 trasladar a trav\u00e9s del citado buz\u00f3n aquellos eventos, sugerencias, vulnerabilidades, \u2026 que puedan tener relaci\u00f3n con la seguridad de la informaci\u00f3n y las directrices contempladas en las presentes normas de las que tenga conocimiento.<\/span><\/div>\n
                                    Se deber\u00e1 notificar a trav\u00e9s del citado buz\u00f3n cualquier incidente que se detecte y que afecte o pueda afectar a la seguridad de los datos de car\u00e1cter personal (p.e. P\u00e9rdida de listados y\/o soportes inform\u00e1ticos, sospechas de uso indebido del acceso autorizado por otras personas, recuperaci\u00f3n de datos de copias de seguridad, …).<\/span><\/div>\n
                                    El citado buz\u00f3n centraliza la recogida, an\u00e1lisis y gesti\u00f3n de los incidentes notificados.<\/span><\/div>\n
                                    Si no se tuviera acceso al buz\u00f3n, se deber\u00e1n utilizar los cauces de comunicaci\u00f3n establecidos dentro del propio servicio, de modo que sea el interlocutor de BDR quien comunique el incidente de seguridad.<\/span><\/div>\n
                                    \u00a0<\/span><\/div>\n
                                    4.5. Seguridad f\u00edsica<\/span><\/div>\n
                                    La sede deber\u00e1 estar cerrada y deber\u00e1 contar con alg\u00fan sistema de control de acceso.<\/span><\/div>\n
                                    Existir\u00e1 alg\u00fan tipo de control de las visitas, al menos en \u00e1reas de acceso p\u00fablico y\/o de carga y descarga.<\/span><\/div>\n
                                    La sede deber\u00e1 contar, al menos, con sistemas adecuados de detecci\u00f3n y extinci\u00f3n de incendios, y deber\u00e1 estar construida de modo que ofrezca una suficiente resistencia frente a inundaciones.<\/span><\/div>\n
                                    Si se mantiene alg\u00fan tipo de copia de seguridad, los sistemas que alberguen y\/o procesen dicha informaci\u00f3n deber\u00e1n estar ubicados en un \u00e1rea especialmente protegida, que incluya al menos las siguientes medidas de seguridad:<\/span><\/div>\n
                                      \n
                                    • El \u00e1rea especialmente protegida deber\u00e1 tener un sistema de control de acceso independiente al de la sede.<\/span><\/li>\n
                                    • Se limitar\u00e1 el acceso a las personas externas a las \u00e1reas especialmente protegidas. Este acceso se asignar\u00e1 \u00fanicamente cuando sea necesario y se encuentre autorizado, y siempre bajo la vigilancia de personas autorizadas.<\/span><\/li>\n
                                    • Se mantendr\u00e1 un registro de todos los accesos de personas ajenas.<\/span><\/li>\n
                                    • Las personas externas no podr\u00e1n permanecer ni ejecutar trabajos en las \u00e1reas especialmente protegidas sin supervisi\u00f3n.<\/span><\/li>\n
                                    • El consumo de alimentos o bebidas en estas \u00e1reas especialmente protegidas estar\u00e1 prohibido.<\/span><\/li>\n
                                    • Los sistemas ubicados en estas \u00e1reas deber\u00e1n contar con alg\u00fan tipo de protecci\u00f3n frente a fallos de alimentaci\u00f3n.<\/span><\/li>\n<\/ul>\n
                                      \u00a0<\/span><\/div>\n
                                      4.6.\u00a0Gesti\u00f3n de activos<\/span><\/div>\n
                                      La organizaci\u00f3n proveedora deber\u00e1 contar con un registro de activos actualizado en el que se puedan identificar los activos utilizados para la prestaci\u00f3n del servicio.<\/span><\/div>\n
                                      Todos los activos utilizados para la prestaci\u00f3n del servicio deber\u00e1n tener una persona responsable, que se deber\u00e1 asegurar de que dichos activos incorporan las medidas de seguridad m\u00ednimas establecidas por la organizaci\u00f3n proveedora, y que al menos deben ser las especificadas en la presente normativa.<\/span><\/div>\n
                                      La organizaci\u00f3n proveedora deber\u00e1 notificar a BDR las bajas de los activos utilizados para la prestaci\u00f3n del servicio. Si dicho activo contiene otra propiedad de BDR (hardware, software u otro tipo de activos), deber\u00e1 ser entregado a BDR previamente a llevar a cabo la baja para que BDR proceda a la retirada de los activos de su propiedad.<\/span><\/div>\n
                                      Siempre que un activo haya contenido informaci\u00f3n protegida, la organizaci\u00f3n proveedora deber\u00e1 llevar a cabo las bajas de activos garantizando la eliminaci\u00f3n segura de dicha informaci\u00f3n, aplicando funciones de borrado seguro o destruyendo f\u00edsicamente el activo, para que la informaci\u00f3n que haya contenido no pueda ser recuperable.<\/span><\/div>\n
                                      \u00a0<\/span><\/div>\n
                                      4.7.\u00a0Arquitectura de seguridad<\/span><\/div>\n
                                      Siempre que la organizaci\u00f3n proveedora de servicios realice trabajos de desarrollo y\/o pruebas de aplicaciones para BDR o con informaci\u00f3n protegida, los entornos con los que se lleven a cabo dichas actividades deber\u00e1n estar aislados entre s\u00ed y tambi\u00e9n aislados de los entornos de producci\u00f3n en los que se albergue o procese informaci\u00f3n protegida.<\/span><\/div>\n
                                      Todos los accesos a los sistemas de informaci\u00f3n que alberguen o procesen informaci\u00f3n protegida deber\u00e1n estar protegidos, al menos, por un cortafuegos, que limite la capacidad de conexi\u00f3n a ellos.<\/span><\/div>\n
                                      Los sistemas de informaci\u00f3n que alberguen o procesen informaci\u00f3n especialmente sensible deber\u00e1n estar aislados del resto.<\/span><\/div>\n
                                      \u00a0<\/span><\/div>\n
                                      4.8.\u00a0Seguridad de sistemas<\/span><\/div>\n
                                      Los sistemas de informaci\u00f3n que alberguen o traten informaci\u00f3n protegida deber\u00e1n registrar los eventos m\u00e1s significativos en torno a su funcionamiento. Estos registros de actividad estar\u00e1n contemplados dentro de la normativa de copias de seguridad de la organizaci\u00f3n proveedora.<\/span><\/div>\n
                                      Los relojes de los sistemas de la organizaci\u00f3n proveedora que procesen o alberguen informaci\u00f3n protegida estar\u00e1n sincronizados entre s\u00ed y con la hora oficial.<\/span><\/div>\n
                                      La organizaci\u00f3n proveedora del servicio garantizar\u00e1 que la capacidad de los sistemas de informaci\u00f3n que guarden o traten informaci\u00f3n protegida se gestiona adecuadamente, evitando potenciales paradas o malos funcionamientos de dichos sistemas por saturaci\u00f3n de recursos.<\/span><\/div>\n
                                      Los sistemas de informaci\u00f3n que alberguen o procesen informaci\u00f3n protegida estar\u00e1n adecuadamente protegidos frente a software malicioso, aplicando las siguientes precauciones:<\/span><\/div>\n
                                        \n
                                      • Se mantendr\u00e1n los sistemas al d\u00eda con las \u00faltimas actualizaciones de seguridad disponibles, en los entornos de desarrollo, prueba y producci\u00f3n.<\/span><\/li>\n
                                      • El software antimalware se deber\u00e1 instalar y usar en todos los servidores y ordenadores personales para reducir el riesgo asociado con el software malicioso.<\/span><\/li>\n
                                      • El software antimalware deber\u00e1 estar siempre habilitado y actualizado.<\/span><\/li>\n<\/ul>\n
                                        La organizaci\u00f3n proveedora establecer\u00e1 una normativa de copias de seguridad que garantice la salvaguarda de cualquier dato o informaci\u00f3n relevante para el servicio prestado, con una periodicidad semanal.<\/span><\/div>\n
                                        Siempre que se utilice el correo electr\u00f3nico en relaci\u00f3n al servicio prestado, la organizaci\u00f3n proveedora deber\u00e1 respetar las siguientes premisas:<\/span><\/div>\n
                                          \n
                                        • No se permitir\u00e1 la transmisi\u00f3n v\u00eda correo electr\u00f3nico de informaci\u00f3n protegida salvo que la comunicaci\u00f3n electr\u00f3nica est\u00e9 cifrada y el env\u00edo est\u00e9 autorizado por escrito.<\/span><\/li>\n
                                        • No se permitir\u00e1 la transmisi\u00f3n v\u00eda correo electr\u00f3nico de informaci\u00f3n que contenga datos de car\u00e1cter personal especialmente protegidos (p.e. Salud), salvo que la comunicaci\u00f3n electr\u00f3nica est\u00e9 cifrada y el env\u00edo est\u00e9 autorizado por escrito.<\/span><\/li>\n
                                        • Siempre que para la prestaci\u00f3n del servicio se haga uso del correo electr\u00f3nico de BDR se deber\u00e1n respetar, al menos, los siguientes principios:<\/span><\/li>\n
                                        • Se considerar\u00e1 al correo electr\u00f3nico como una herramienta m\u00e1s de trabajo proporcionada con el fin exclusivo del servicio contratado. Esta consideraci\u00f3n facultar\u00e1 a BDR a implementar sistemas de control destinados a velar por la protecci\u00f3n y el buen uso de este recurso. Esta facultad, no obstante, se ejercer\u00e1 salvaguardando la dignidad de las personas y su derecho a la intimidad.<\/span><\/li>\n
                                        • El sistema de correo electr\u00f3nico de BDR no deber\u00e1 ser usado para enviar mensajes fraudulentos, obscenos, amenazadores u otro tipo de comunicados similares.<\/span><\/li>\n
                                        • Las personas usuarias no deber\u00e1n crear, enviar o reenviar mensajes publicitarios o piramidales (mensajes que se extienden a m\u00faltiples personas usuarias).<\/span><\/li>\n<\/ul>\n
                                          El acceso a los sistemas de informaci\u00f3n que alberguen o procesen informaci\u00f3n protegida deber\u00e1 realizarse siempre de forma autenticada, al menos mediante la utilizaci\u00f3n de un identificador de persona y una contrase\u00f1a asociada.<\/span><\/div>\n
                                          Los sistemas de informaci\u00f3n que alberguen o procesen informaci\u00f3n protegida deber\u00e1n contar con sistemas de control de acceso que limiten el acceso a dicha informaci\u00f3n exclusivamente a las personas del servicio.<\/span><\/div>\n
                                          Las sesiones de acceso a los sistemas de informaci\u00f3n que alberguen o procesen informaci\u00f3n protegida deber\u00e1n bloquearse autom\u00e1ticamente tras un cierto tiempo de inactividad de las personas usuarias.<\/span><\/div>\n
                                          Siempre que se haga uso de software facilitado por BDR se deber\u00e1n atender las siguientes normas:<\/span><\/div>\n
                                            \n
                                          • Todas las personas que accedan a los sistemas de informaci\u00f3n de BDR deber\u00e1n utilizar \u00fanicamente las versiones de software facilitadas y siguiendo sus normas de utilizaci\u00f3n.<\/span><\/li>\n
                                          • Todas las personas tienen prohibido instalar copias ilegales de cualquier software.<\/span><\/li>\n
                                          • Se proh\u00edbe el uso de software no validado por BDR.<\/span><\/li>\n
                                          • Tambi\u00e9n est\u00e1 prohibido desinstalar cualquiera de los programas instalados por BDR.<\/span><\/li>\n<\/ul>\n
                                            \u00a0<\/span><\/div>\n
                                            4.9. Seguridad de red<\/span><\/div>\n
                                            Las redes a trav\u00e9s de las que circule la informaci\u00f3n protegida deber\u00e1n estar adecuadamente gestionadas y controladas, asegur\u00e1ndose de que no existen accesos no controlados ni conexiones cuyos riesgos no est\u00e9n apropiadamente gestionados por la organizaci\u00f3n proveedora.<\/span><\/div>\n
                                            Los servicios disponibles en las redes a trav\u00e9s de las que circule la informaci\u00f3n protegida deber\u00e1n limitarse en la medida de lo posible.<\/span><\/div>\n
                                            Las redes que permitan el acceso a la infraestructura TIC de BDR deber\u00e1n estar apropiadamente protegidas, debi\u00e9ndose cumplir las siguientes premisas:<\/span><\/div>\n
                                              \n
                                            • El acceso de personas usuarias remotos a la red de BDR estar\u00e1 sujeto al cumplimiento de procedimientos de identificaci\u00f3n y autenticaci\u00f3n previa, y validaci\u00f3n del acceso.<\/span><\/li>\n
                                            • Estas conexiones se realizar\u00e1n por tiempo limitado y mediante la utilizaci\u00f3n de redes privadas virtuales o l\u00edneas dedicadas.<\/span><\/li>\n
                                            • En estas conexiones no se permitir\u00e1 ning\u00fan tipo de equipo de comunicaciones (tarjetas, m\u00f3dems, etc.) que posibilite conexiones alternativas no controladas.<\/span><\/li>\n<\/ul>\n
                                              El acceso a las redes a trav\u00e9s de las que circule la informaci\u00f3n protegida deber\u00e1 estar limitado.<\/span><\/div>\n
                                              Todos los equipos conectados a las redes a trav\u00e9s de las que circule la informaci\u00f3n protegida deber\u00e1n estar apropiadamente identificados, de modo que los tr\u00e1ficos de red puedan ser identificables.<\/span><\/div>\n
                                              El teletrabajo, considerado como el acceso a la red corporativa desde el exterior, se regula mediante la aplicaci\u00f3n de la siguiente normativa:<\/span><\/div>\n
                                                \n
                                              • No se permite la utilizaci\u00f3n de equipamiento no controlado por BDR para las actividades de teletrabajo.<\/span><\/li>\n
                                              • Se establecer\u00e1n criterios de autorizaci\u00f3n del teletrabajo en base a las necesidades del puesto de trabajo.<\/span><\/li>\n
                                              • Se establecer\u00e1n las medidas necesarias para la conexi\u00f3n segura a la red corporativa.<\/span><\/li>\n
                                              • Se establecer\u00e1n sistemas de monitorizaci\u00f3n y auditor\u00eda de seguridad para las conexiones establecidas.<\/span><\/li>\n
                                              • Se controlar\u00e1 la revocaci\u00f3n de derechos de acceso y devoluci\u00f3n de equipamiento tras la finalizaci\u00f3n del periodo de necesidad de este.<\/span><\/li>\n<\/ul>\n
                                                Siempre que se haga uso del acceso a Internet proporcionado por BDR se deber\u00e1n respetar, adicionalmente, la siguiente normativa:<\/span><\/div>\n
                                                  \n
                                                • Internet es una herramienta de trabajo. Todas las actividades en Internet deber\u00e1n estar en relaci\u00f3n con tareas y actividades de trabajo. Las personas usuarias no deben buscar o visitar sitios que no sirvan como soporte al objetivo de negocio de BDR o al cumplimiento de su trabajo diario.<\/span><\/li>\n
                                                • El acceso a Internet desde la red corporativa se restringir\u00e1 por medio de dispositivos de control incorporados en la misma. La utilizaci\u00f3n de otros medios de conexi\u00f3n deber\u00e1 ser previamente validada y estar\u00e1 sujeta a las anteriores consideraciones sobre el uso de Internet.<\/span><\/li>\n
                                                • Las personas usuarias no deber\u00e1n usar el nombre, s\u00edmbolo, logotipo o s\u00edmbolos similares al de BDR en ning\u00fan elemento de Internet (correo electr\u00f3nico, p\u00e1ginas Web, etc.) no justificado por actividades estrictamente laborales.<\/span><\/li>\n
                                                • \u00danicamente se permitir\u00e1 la transferencia de datos de o hacia Internet cuando est\u00e9n relacionadas con actividades del negocio. La transferencia de ficheros no relativa a estas actividades (p.e. La descarga de programas, ficheros multimedia, …) estar\u00e1 prohibida.<\/span><\/li>\n<\/ul>\n
                                                  \u00a0<\/span><\/div>\n
                                                  4.10. Trazabilidad de uso de los sistemas<\/span><\/div>\n
                                                  Se registrar\u00e1n los accesos privilegiados conserv\u00e1ndose dichos registros de acuerdo con la normativa de copias de seguridad de la Organizaci\u00f3n.<\/span><\/div>\n
                                                  Se registrar\u00e1 la actividad de los sistemas utilizados para llevar a cabo dicho acceso privilegiado, conserv\u00e1ndose dichos registros de acuerdo con la normativa de copias de seguridad de la Organizaci\u00f3n.<\/span><\/div>\n
                                                  Los errores y fallos registrados en la actividad de los sistemas se analizar\u00e1n, adopt\u00e1ndose las medidas necesarias para su subsanaci\u00f3n.<\/span><\/div>\n
                                                  \u00a0<\/span><\/div>\n
                                                  4.11.\u00a0Control y gesti\u00f3n de identidades y accesos<\/span><\/div>\n
                                                  Todas las personas usuarias con acceso a un sistema de informaci\u00f3n dispondr\u00e1n de una \u00fanica autorizaci\u00f3n de acceso compuesta de identificador de persona usuaria y contrase\u00f1a.<\/span><\/div>\n
                                                  Las personas usuarias ser\u00e1n responsables de toda actividad relacionada con el uso de su acceso autorizado.<\/span><\/div>\n
                                                  Las personas usuarias no deber\u00e1n utilizar ning\u00fan acceso autorizado de otro usuario, aunque dispongan de la autorizaci\u00f3n del propietario.<\/span><\/div>\n
                                                  Las personas usuarias no deber\u00e1n revelar bajo ning\u00fan concepto su identificador y\/o contrase\u00f1a a otra persona, ni mantenerla por escrito a la vista, ni al alcance de terceras personas.<\/span><\/div>\n
                                                  La longitud m\u00ednima de la contrase\u00f1a deber\u00e1 ser de 6 caracteres y no deber\u00e1 contener el nombre, apellidos ni el identificador de la persona usuaria en la misma. Deber\u00e1 ser cambiada cada 45 d\u00edas ni repetir al menos las 8 contrase\u00f1as anteriores.<\/span><\/div>\n
                                                  Igualmente, deber\u00e1n tener complejidad y ser dif\u00edcilmente adivinables, por lo que estar\u00e1n constituidas por combinaci\u00f3n al menos 3 de estas 4 opciones en los primeros 8 caracteres:<\/span><\/div>\n
                                                    \n
                                                  • May\u00fasculas<\/span><\/li>\n
                                                  • Min\u00fasculas<\/span><\/li>\n
                                                  • N\u00fameros<\/span><\/li>\n
                                                  • Caracteres especiales<\/span><\/li>\n<\/ul>\n
                                                    Es recomendable utilizar las siguientes directrices para la selecci\u00f3n de contrase\u00f1as:<\/span><\/div>\n
                                                      \n
                                                    • No usar palabras conocidas, ni palabras que se puedan asociar con uno mismo, por ejemplo, el nombre.<\/span><\/li>\n
                                                    • La contrase\u00f1a no deber\u00e1 hacer referencia a ning\u00fan concepto, objeto o idea reconocible. Por tanto, se deber\u00e1 evitar utilizar en las contrase\u00f1as fechas significativas, d\u00edas de la semana, meses del a\u00f1o, nombres de personas, tel\u00e9fonos, \u2026<\/span><\/li>\n
                                                    • La clave deber\u00eda ser algo pr\u00e1cticamente imposible de adivinar. Pero al mismo tiempo deber\u00eda ser f\u00e1cilmente recordada por la persona usuaria. Un buen ejemplo es usar el acr\u00f3nimo de alguna frase o expresi\u00f3n.<\/span><\/li>\n<\/ul>\n
                                                      La organizaci\u00f3n proveedora deber\u00e1 garantizar que peri\u00f3dicamente se constata que s\u00f3lo tienen acceso a la informaci\u00f3n protegida las personas debidamente autorizadas para ello.<\/span><\/div>\n
                                                      En aquellos casos en los que adem\u00e1s se acceda a los sistemas de informaci\u00f3n de BDR se deber\u00e1n considerar, adem\u00e1s, la siguiente normativa:<\/span><\/div>\n
                                                        \n
                                                      • Ninguna persona usuaria recibir\u00e1 un identificador de acceso a los sistemas de BDR hasta que no acepte por escrito la normativa de seguridad vigente.<\/span><\/li>\n
                                                      • Las personas usuarias tendr\u00e1n acceso autorizado \u00fanicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.<\/span><\/li>\n
                                                      • En caso de que el sistema no lo solicite autom\u00e1ticamente, la persona usuaria deber\u00e1 cambiar la contrase\u00f1a provisional asignada la primera vez que realiza un acceso v\u00e1lido al sistema.<\/span><\/li>\n
                                                      • En el caso que el sistema no lo solicite autom\u00e1ticamente, la persona usuaria deber\u00e1 cambiar su contrase\u00f1a como m\u00ednimo una vez cada 90 d\u00edas.<\/span><\/li>\n
                                                      • Los accesos autorizados temporales se configurar\u00e1n para un corto per\u00edodo de tiempo. Una vez expirado dicho per\u00edodo, se desactivar\u00e1n de los sistemas.<\/span><\/li>\n
                                                      • En relaci\u00f3n con datos de car\u00e1cter personal, exclusivamente las personas autorizadas para ello podr\u00e1n conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por la persona responsable del fichero.<\/span><\/li>\n
                                                      • Si una persona usuaria tiene sospechas de que su acceso autorizado (identificador de persona usuaria y contrase\u00f1a) est\u00e1 siendo utilizado por otra persona, deber\u00e1 proceder al cambio de su contrase\u00f1a y notificar el incidente en el buz\u00f3n de correo electr\u00f3nico BDR.<\/span><\/li>\n<\/ul>\n
                                                        \u00a0<\/span><\/div>\n
                                                        4.12.\u00a0Gesti\u00f3n de cambios<\/span><\/div>\n
                                                        Todos los cambios en la infraestructura TIC deber\u00e1n estar controlados y autorizados, garantiz\u00e1ndose que no forma parte de ella componentes no controlados.<\/span><\/div>\n
                                                        Se deber\u00e1 verificar que todos los nuevos componentes introducidos en la infraestructura TIC de la organizaci\u00f3n proveedora utilizada para la prestaci\u00f3n del servicio funcionan adecuadamente y cumplen los prop\u00f3sitos para los que fueron incorporados.<\/span><\/div>\n
                                                        \u00a0<\/span><\/div>\n
                                                        4.13. Gesti\u00f3n t\u00e9cnica de cambios<\/span><\/div>\n
                                                        Todos los cambios que se lleven a cabo se deber\u00e1n realizar siguiendo un procedimiento formalmente establecido y documentado, que garantice que se siguen los pasos apropiados para realizar el cambio.<\/span><\/div>\n
                                                        El procedimiento de gesti\u00f3n de cambios deber\u00e1 garantizar que se minimizan los cambios sobre la infraestructura TIC, limit\u00e1ndose a los estrictamente imprescindibles.<\/span><\/div>\n
                                                        Se deber\u00e1n probar todos los cambios antes de su despliegue en el entorno de producci\u00f3n, para comprobar que no se producen efectos adversos colaterales o no previstos sobre el funcionamiento y seguridad de la infraestructura TIC.<\/span><\/div>\n
                                                        Las organizaciones proveedoras deber\u00e1n escanear y mitigar las vulnerabilidades t\u00e9cnicas que presenten las infraestructuras utilizadas para la prestaci\u00f3n del servicio, informando a BDR de todas aquellas asociadas a los componentes cr\u00edticos.<\/span><\/div>\n
                                                        \u00a0<\/span><\/div>\n
                                                        4.14. Seguridad en desarrollo<\/span><\/div>\n
                                                        Todo el proceso de desarrollo de software externalizado ser\u00e1 controlado y supervisado por BDR<\/span><\/div>\n
                                                        Se incorporar\u00e1n mecanismos de identificaci\u00f3n, autentificaci\u00f3n, control de acceso, auditor\u00eda e integridad en todo el ciclo de vida de dise\u00f1o, desarrollo, implantaci\u00f3n y operaci\u00f3n del software.<\/span><\/div>\n
                                                        Las especificaciones del software deber\u00e1n contener expresamente los requisitos de seguridad a cubrir en cada caso.<\/span><\/div>\n
                                                        El software que se desarrolle deber\u00e1 incorporar validaciones de los datos de entrada que verifiquen que los datos son correctos y apropiados y que eviten la introducci\u00f3n de c\u00f3digo ejecutable.<\/span><\/div>\n
                                                        Los procesos internos desarrollados por las aplicaciones deber\u00e1n incorporar todas las validaciones necesarias para garantizar que no se producen corrupciones de la informaci\u00f3n.<\/span><\/div>\n
                                                        Siempre que sea necesario se deber\u00e1n incorporar funciones de autenticaci\u00f3n y control de integridad en las comunicaciones entre los diferentes componentes de las aplicaciones.<\/span><\/div>\n
                                                        Se deber\u00e1 limitar la informaci\u00f3n de salida ofrecida por las aplicaciones, garantizando que s\u00f3lo se ofrece aquella pertinente y necesaria.<\/span><\/div>\n
                                                        El acceso al c\u00f3digo fuente de los aplicativos deber\u00e1 estar limitado a las personas del servicio.<\/span><\/div>\n
                                                        En el entorno de pruebas s\u00f3lo se utilizar\u00e1n datos reales cuando hayan sido apropiadamente disociados o siempre que se pueda garantizar que las medidas de seguridad aplicadas sean equivalentes a las existentes en el entorno de producci\u00f3n.<\/span><\/div>\n
                                                        Durante las pruebas de los aplicativos se verificar\u00e1 que no existen brechas de informaci\u00f3n no controlados, y que por los canales establecidos s\u00f3lo se ofrece la informaci\u00f3n prevista.<\/span><\/div>\n
                                                        S\u00f3lo se transferir\u00e1 al entorno de producci\u00f3n aquel software que haya sido expresamente aprobado.<\/span><\/div>\n
                                                        En relaci\u00f3n con los servicios Web se considerar\u00e1 la gesti\u00f3n del Top 10 de Owasp.<\/span><\/div>\n
                                                        \u00a0<\/span><\/div>\n
                                                        4.15.\u00a0Gesti\u00f3n de contingencias<\/span><\/div>\n
                                                        El servicio deber\u00e1 contar con un plan que permite su prestaci\u00f3n aun en caso de contingencias.<\/span><\/div>\n
                                                        El plan anterior deber\u00e1 ser desarrollado en funci\u00f3n de los eventos capaces de causar interrupciones en el servicio y su probabilidad de ocurrencia.<\/span><\/div>\n
                                                        La organizaci\u00f3n proveedora deber\u00e1 poder demostrar la viabilidad del plan de contingencias existente.<\/span><\/div>\n
                                                        \u00a0<\/span><\/div>\n
                                                        5.\u00a0Seguimiento y control<\/span><\/div>\n
                                                        Con el fin de velar por el correcto uso de los mencionados recursos, a trav\u00e9s de los mecanismos formales y t\u00e9cnicos que se considere oportunos, BDR comprobar\u00e1, ya sea de forma peri\u00f3dica o cuando por razones espec\u00edficas de seguridad o del servicio resulte conveniente.<\/span><\/div>\n

                                                        [\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"

                                                        Normativa de proveedores Seguridad de la informaci\u00f3n de proveedores Aprobado por: Esteban Fern\u00e1ndez (fecha: 15\/07\/2024) 1. Objeto El objeto de este documento es establecer el marco normativo en relaci\u00f3n con la seguridad de la informaci\u00f3n para las organizaciones proveedoras de BDR que acceden a su informaci\u00f3n, sistemas de informaci\u00f3n o recursos, con el fin de […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"","_et_gb_content_width":"","advanced_seo_description":"","jetpack_seo_html_title":"","jetpack_seo_noindex":false,"footnotes":""},"class_list":["post-403","page","type-page","status-publish","hentry"],"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/bdrcyber.com\/index.php?rest_route=\/wp\/v2\/pages\/403","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bdrcyber.com\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/bdrcyber.com\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/bdrcyber.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bdrcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=403"}],"version-history":[{"count":2,"href":"https:\/\/bdrcyber.com\/index.php?rest_route=\/wp\/v2\/pages\/403\/revisions"}],"predecessor-version":[{"id":421,"href":"https:\/\/bdrcyber.com\/index.php?rest_route=\/wp\/v2\/pages\/403\/revisions\/421"}],"wp:attachment":[{"href":"https:\/\/bdrcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=403"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}