Siigo
Legal

Cláusulas de Ciberseguridad para Proveedores

Lineamientos de ciberseguridad que Siigo considera relevantes en el marco de las relaciones con proveedores para la adecuada protección de la información.

Cláusulas de Ciberseguridad para Proveedores

Siigo, en su interés por mantener entornos seguros y proteger la información que gestiona, comparte los siguientes lineamientos de ciberseguridad como referencia para los proveedores con quienes mantiene relaciones comerciales. Estos lineamientos buscan alinear expectativas y promover buenas prácticas durante la vigencia de la relación.

Cláusula 1 — Gestión de Seguridad de la Información

Se espera que los proveedores cuenten con mecanismos orientados a la protección de la información, idealmente alineados con marcos reconocidos como ISO/IEC 27001 u otros estándares equivalentes. Contar con políticas, procedimientos y controles que contribuyan a preservar la confidencialidad, integridad y disponibilidad de la información es una práctica valorada por Siigo.

Cláusula 2 — Control de Accesos y Gestión de Identidades

En la medida de lo posible, se sugiere que los proveedores consideren:

  • Gestionar los accesos a sistemas e información bajo criterios de mínimo privilegio, limitando el alcance al personal que realmente lo requiera.
  • Considerar el uso de autenticación multifactor (MFA) para accesos remotos a entornos que puedan involucrar información de Siigo.
  • Llevar un seguimiento razonable de los usuarios con acceso activo a sistemas relacionados.
  • Gestionar oportunamente la baja de accesos cuando un colaborador cambie de rol o finalice su vinculación.

Cláusula 3 — Protección de Datos Personales y Confidencialidad

En el manejo de información relacionada con Siigo, se espera que los proveedores:

  • Tengan en cuenta la normativa de protección de datos aplicable en los países donde operen.
  • Consideren la formalización de acuerdos de confidencialidad cuando la naturaleza de la información lo sugiera.
  • Eviten compartir información de Siigo o de sus clientes con terceros sin que exista una justificación clara y acordada.
  • Apliquen medidas de protección razonables, como el cifrado, sobre la información sensible que procesen o almacenen.

Cláusula 4 — Seguridad en el Desarrollo de Software (si aplica)

Cuando el alcance del servicio involucre desarrollo, mantenimiento o integración de software, se valora que los proveedores:

  • Incorporen consideraciones de seguridad a lo largo del ciclo de desarrollo.
  • Realicen revisiones o pruebas de seguridad antes de la entrega de componentes relevantes.
  • Comuniquen oportunamente hallazgos de seguridad que puedan impactar los entregables acordados.
  • Procuren no incorporar dependencias con vulnerabilidades conocidas sin una evaluación previa.

Cláusula 5 — Gestión de Incidentes de Seguridad

Ante situaciones que puedan comprometer la información o los sistemas relacionados con Siigo, se espera que los proveedores:

  • Comuniquen a Siigo de manera oportuna cualquier evento que pudiera afectar la información en el marco de la relación.
  • Cuenten con mecanismos internos para atender y gestionar incidentes de seguridad.
  • Colaboren en los procesos de análisis y atención cuando así se requiera.
  • Compartan, cuando sea posible, información sobre el origen y las acciones tomadas frente al incidente.

Cláusula 6 — Continuidad del Negocio y Recuperación ante Desastres

Se valora que los proveedores cuenten con:

  • Planes o mecanismos orientados a mantener la continuidad de sus servicios ante eventos inesperados.
  • Estrategias de recuperación que contemplen los servicios prestados a Siigo.
  • Prácticas de respaldo de información que minimicen la pérdida de datos ante fallas.

Cláusula 7 — Transparencia y Verificación

Siigo puede, en el marco de la relación comercial, solicitar información o evidencias relacionadas con las prácticas de seguridad del proveedor. Se espera una actitud colaborativa ante estas solicitudes, que pueden incluir:

  • Certificaciones o reportes de seguridad disponibles.
  • Información sobre procesos o controles implementados.
  • Acceso a registros relevantes para verificar la adecuada gestión de la información.

Cláusula 8 — Gestión de Vulnerabilidades y Actualización

Como parte de las buenas prácticas esperadas, se sugiere que los proveedores:

  • Mantengan sus sistemas e infraestructura con un nivel razonable de actualización.
  • Atiendan oportunamente las vulnerabilidades que puedan afectar los servicios relacionados con Siigo.
  • Realicen revisiones periódicas de seguridad sobre sus entornos.

Cláusula 9 — Subcontratación y Cadena de Suministro

Cuando el proveedor involucre a terceros en la prestación de servicios relacionados con Siigo, se espera que:

  • Informe sobre la participación de subcontratistas cuando sea relevante.
  • Procure que dichos terceros cuenten con prácticas de seguridad acordes al contexto.
  • Mantenga visibilidad sobre el manejo de la información de Siigo en su cadena de suministro.

Cláusula 10 — Consecuencias ante Situaciones de Riesgo

Ante situaciones donde se identifiquen riesgos significativos o incumplimientos que afecten la seguridad de la información, Siigo podrá evaluar, según el contexto y la gravedad del caso:

  • La revisión o ajuste de los niveles de acceso otorgados al proveedor.
  • La revisión de las condiciones de la relación comercial vigente.
  • La activación de los mecanismos previstos en los acuerdos suscritos.

Para tus Colaboradores Externos

Proveedor, entendemos que es común contar con colaboradores externos, contratistas o independientes que en algún momento puedan tener contacto con sistemas o información relacionada con Siigo. Compartir con ellos buenas prácticas de ciberseguridad contribuye a un entorno más seguro para todos.

Te invitamos a que conozcan las siguientes recomendaciones pensadas para ese perfil:

Recomendaciones para Colaboradores Externos

La seguridad en entornos compartidos depende de las decisiones de cada persona. Estas recomendaciones buscan ser una guía útil, no un listado exhaustivo de obligaciones.

Legal

Documentos legales y regulatorios para Latam

En esta página

Cláusulas de Ciberseguridad para ProveedoresCláusula 1 — Gestión de Seguridad de la InformaciónCláusula 2 — Control de Accesos y Gestión de IdentidadesCláusula 3 — Protección de Datos Personales y ConfidencialidadCláusula 4 — Seguridad en el Desarrollo de Software (si aplica)Cláusula 5 — Gestión de Incidentes de SeguridadCláusula 6 — Continuidad del Negocio y Recuperación ante DesastresCláusula 7 — Transparencia y VerificaciónCláusula 8 — Gestión de Vulnerabilidades y ActualizaciónCláusula 9 — Subcontratación y Cadena de SuministroCláusula 10 — Consecuencias ante Situaciones de RiesgoPara tus Colaboradores Externos