Siigo
Legal

Términos y Condiciones para Proveedores

Términos y condiciones de ciberseguridad, cumplimiento normativo, protección de datos y uso responsable de la información que regulan la relación entre SIIGO y sus proveedores.

Términos y Condiciones para Proveedores

1. Objetivo

El presente documento establece los términos y condiciones de Ciberseguridad, cumplimiento normativo y el uso responsable de la información que regulan la relación comercial entre SIIGO y cualquier persona física, moral o jurídica que provea bienes o servicios a la organización.

La aceptación de estos términos es obligatoria para el inicio y mantenimiento de la relación contractual.

2. Alcance

Estos términos y condiciones aplican a proveedores, terceros, contratistas o cualquier entidad que preste servicios a SIIGO y que tengan acceso a información y sistemas de la compañía.

El proveedor tiene una responsabilidad ética y se compromete a:

  • Actuar con integridad y transparencia.
  • No ofrecer ni aceptar sobornos o beneficios indebidos.
  • Declarar conflicto de intereses.

El proveedor declara y garantiza que:

  • Cumple con todas las leyes y regulaciones aplicables.
  • Cuenta con las licencias y permisos necesarios para la prestación de sus servicios.
  • Se encuentra libre en listas de sanciones normativos y regulatorios.
  • Es libre de actividades ilícitas.
  • En crecimiento inorgánico, due diligence en escenarios de integración.

El proveedor está obligado a notificar cualquier cambio en su situación legal que pueda representar riesgo para la organización.

4. Seguridad en el ciclo de desarrollo del software

En los escenarios que el proveedor desarrolle el software; es necesario que garantice que cuenta con:

  • Revisión de cambios en el código con flujo de aprobaciones necesarias.
  • Análisis SAST, DAST y Pentesting con una frecuencia definida.
  • Controles bloqueantes automáticos en secretos en el código o vulnerabilidades críticas y altas.

5. Continuidad del negocio, recuperación ante desastres y control de cambios

Cuando la criticidad del servicio lo requiera, el proveedor debe contar con los siguientes documentos:

  • Plan de Continuidad del Negocio (BCP).
  • Plan de Recuperación ante Desastres (DRP).
  • Procedimientos de respaldo y recuperación de información.
  • Pruebas documentadas de los planes.
  • Existe una separación de entornos.
  • Flujos controlados ante salidas a producción.

6. Confidencialidad

Toda información proporcionada será considerada confidencial, incluyendo, pero no limitándose a:

  • Información técnica
  • Información financiera
  • Datos de clientes y colaboradores
  • Información estratégica
  • Y cualquier información perteneciente a la organización.

7. Seguridad de la Información

Cuando el proveedor tenga acceso a sistemas o información, deberá tomar las medidas necesarias para proteger la información, incluyendo, pero no limitándose a:

  • Implementar controles técnicos adecuados.
  • Principio de mínimo privilegio.
  • Mantener protección contra malware.
  • Gestionar vulnerabilidades.
  • Segregación de ambientes.
  • Notificar incidentes de seguridad de manera inmediata a la compañía.

Siigo puede solicitar evidencia documental de estos controles.

8. Gestión de accesos

El proveedor debe:

  • Garantizar los Controles de acceso y autenticación multifactor de manera obligatoria en todos los sistemas.
  • Contar con accesos individuales, no se permiten cuentas compartidas.
  • Revocar accesos inmediatamente al finalizar la relación contractual o cambio de funciones.
  • Revisar periódicamente los accesos otorgados.
  • Proteger las credenciales de acceso a información y sistemas.

9. Seguridad en la Nube

Cuando el servicio se preste en entornos cloud, el proveedor debe:

  • Aplicar configuraciones seguras; y estas configuraciones se podrán implementar de manera temporal por personal específico en la gestión de infraestructura.
  • Garantizar cifrado de datos en tránsito y en reposo.
  • Mantener controles de segregación de clientes.
  • Contar con monitoreo de seguridad activo.
  • Gestión secretos, variables y certificados en modelos de responsabilidad compartida del proveedor de nube; en el que exista seguridad en torno a esta información crítica.
  • Contar con un equipo SOC para la gestión de eventos y/o incidentes de seguridad informática.
  • Tener un SIEM (Security Information and Event Management) para la gestión de registros de los servicios de la operación.
  • Notificar a la organización de cualquier incidente de seguridad de forma inmediata.

10. Protección de datos personales

En caso de tratar con datos personales, el proveedor se compromete a:

  • Procesarlos únicamente bajo instrucciones documentadas.
  • Implementar medidas de seguridad adecuadas para su acceso y almacenamiento.
  • Cumplir con las normas de protección de datos personales aplicables.
  • Notificar cualquier violación de datos de forma inmediata a la compañía.
  • Permitir auditorias cuando sea requerido por parte de la compañía.

11. Clasificación y protección de la Información

El proveedor debe respetar la clasificación de la información establecida por SIIGO y aplicar controles proporcionales a su nivel de sensibilidad, por tal motivo se compromete a:

  • Limitar el acceso únicamente al personal autorizado.
  • Implementar mecanismos de protección adecuados.
  • No divulgar información sin autorización escrita.

La obligación de confidencialidad subsistirá después de finalizada la relación contractual.

12. Uso de Inteligencia Artificial

12.1 Declaración de uso

El proveedor debe declarar si utiliza sistemas de Inteligencia Artificial para la prestación del servicio.

No podrá utilizar la IA para procesar información confidencial o datos personales sin autorización previa de la compañía.

12.2 Principios de Gobierno de IA

El uso de la IA debe cumplir con los siguientes principios:

  • Legalidad y cumplimiento regulatorio.
  • Transparencia y trazabilidad.
  • Seguridad de la información.
  • Protección de datos personales.
  • Mitigación de sesgos y riesgos éticos.
  • Responsabilidad.

12.3 Propiedad Intelectual

El proveedor garantiza que el uso de IA no infringe derechos de terceros y que los entregables podrán ser utilizados legalmente por la compañía.

12.4 Gestión de riesgo de IA

El tercero debe realizar las siguientes condiciones en términos de gestión de riesgos:

  • Realizar una evaluación de riesgos antes de implementar IA.
  • Clasificar el nivel de criticidad del caso de uso.
  • Implementar controles proporcionales al nivel de riesgo.
  • Documentar medidas de mitigación en caso de ser necesario aplicarlo.

12.5 Protección de información y datos personales en el uso de IA

El tercero se compromete a:

  • No introducir información confidencial en herramientas públicas de IA sin autorización.
  • No utilizar datos de la compañía para entrenamiento de modelos propios o de terceros.
  • Garantizar que los modelos utilizados no retengan ni reutilicen información sensible.
  • Aplicar controles de cifrado, acceso y segregación de datos cuando corresponda.
  • Cumplir con la normativa vigente en materia de protección de datos personales.
  • Notificar incidentes de seguridad que se presenten de forma inmediata (brechas de seguridad, uso indebido de la información, fallas significativas, eventos que generen riesgo reputacional o legal).
  • Permitir auditorias y proporcionar evidencias cuando sea requerido por la compañía.

12.6 Supervisión humana y limitaciones

Queda prohibido:

  • La toma de decisiones completamente automatizadas sin revisión humana y autorizada por la compañía.
  • El uso de IA en procesos que afecten derechos de autor.
  • Automatización que genere impacto financiero o legal sin validación y autorización por la compañía.
  • Utilizar la IA para fines ilícitos.
  • Generar deepfakes o contenido engañoso relacionado con la compañía.
  • Introducir información estratégica en herramientas no autorizadas.
  • Utilizar datos corporativos para entrenamiento de modelos.
  • Implementar IA sin una evaluación de riesgos.

13. Retención y Eliminación Segura de Información

Al finalizar la relación contractual o cuando ya no sea necesaria la información, el proveedor debe eliminar y devolver la información de Siigo; debe aplicar mecanismos de borrado seguro y certificar la destrucción de la información obtenida.

14. Derecho de evaluación y terminación

La compañía tiene derecho de solicitar al proveedor evidencias del cumplimiento de los requisitos descritos en este documento.

Siigo puede suspender y/o terminar la relación contractual, si detecta incumplimiento de los términos establecidos, riesgos significativos, violaciones legales, incumplimiento en normas de protección de datos personales, exista una falta de ética grave, uso indebido de la IA y demás situaciones que pueda generar un impacto negativo para la organización.

15. Terceras partes

El proveedor se compromete a:

  • Clasificación de proveedores (críticos vs no críticos).
  • Proceso completo de evaluación, selección y seguimiento.
  • Acuerdos de servicio obligatorios.
  • Evaluaciones con una periodicidad definida.

16. Seguridad en recursos humanos: Capacitación y concientización en Ciberseguridad

  • El proveedor garantiza que todo su personal, contratistas o terceros que participen en la prestación de los servicios y que puedan tener acceso a información, sistemas, redes o recursos no públicos de la organización, han recibido y continúan recibiendo capacitación en concientización de ciberseguridad.
  • La capacitación debe incluir como mínimo buenas prácticas de seguridad de la información, identificación de amenazas comunes como phishing, ataques de fraude tipo Business Email Compromise, suplantación de identidad, ingeniería social, malware, protección de datos y uso seguro de los sistemas.
  • El proveedor debe asegurar que su personal que utilice herramientas de Inteligencia Artificial, incluyendo soluciones de IA Generativa, reciba capacitación sobre el uso responsable y seguro de dichas tecnologías.
  • El proveedor debe mantener registros documentados que evidencien la participación de su personal en los programas de capacitación requeridos en materia de ciberseguridad.
  • El proveedor debe asegurar que la capacitación relevante se realice durante la incorporación del personal que participa en la prestación de servicios y al menos una vez al año como actualización o refuerzo de conocimientos.
  • El proveedor debe garantizar que su personal que desempeña funciones especializadas relacionadas con tecnología, desarrollo, administración de sistemas, manejo de datos o accesos privilegiados a sistemas e información reciba capacitación adicional basada en su rol, la cual incluye riesgos de seguridad y protección de información y datos personales.
  • El proveedor se compromete a mantener y mejorar continuamente sus programas de capacitación en seguridad de la información, incluyendo la actualización periódica de contenidos, la incorporación de nuevas prácticas de seguridad y el fortalecimiento de la capacitación técnica para roles especializados cuando sea aplicable.

El proveedor es responsable de implementar y mantener los programas de capacitación y de asegurar que su personal cumpla con estos requerimientos.

La organización puede solicitar evidencia del cumplimiento de los requisitos.

17. Responsabilidad

El proveedor es responsable por daños derivados de incumplimiento contractual, violaciones de seguridad, incumplimiento legal o uso indebido de la información y sistemas.

18. Vigencia

Estos términos permanecerán vigentes durante toda la relación contractual y mientras exista un tratamiento de información y sistemas.

19. Aceptación

El tercero declara haber leído, entendido y aceptado los presentes términos y condiciones para que exista una relación contractual entre ambas partes.

Cláusulas de Ciberseguridad para Proveedores

Lineamientos de ciberseguridad que Siigo considera relevantes en el marco de las relaciones con proveedores para la adecuada protección de la información.

En esta página

Términos y Condiciones para Proveedores1. Objetivo2. Alcance3. Cumplimiento ético, legal y regulatorio4. Seguridad en el ciclo de desarrollo del software5. Continuidad del negocio, recuperación ante desastres y control de cambios6. Confidencialidad7. Seguridad de la Información8. Gestión de accesos9. Seguridad en la Nube10. Protección de datos personales11. Clasificación y protección de la Información12. Uso de Inteligencia Artificial12.1 Declaración de uso12.2 Principios de Gobierno de IA12.3 Propiedad Intelectual12.4 Gestión de riesgo de IA12.5 Protección de información y datos personales en el uso de IA12.6 Supervisión humana y limitaciones13. Retención y Eliminación Segura de Información14. Derecho de evaluación y terminación15. Terceras partes16. Seguridad en recursos humanos: Capacitación y concientización en Ciberseguridad17. Responsabilidad18. Vigencia19. Aceptación