Política de Control de Proveedores y terceros.

Organización: TTPSEC SPA
Versión: 1.0
Fecha: 1 de junio de 2025

1. Propósito

Establecer los principios, criterios y controles necesarios para gestionar de forma segura la relación con proveedores, contratistas y terceros que puedan acceder, procesar, almacenar o transmitir información perteneciente a TTPSEC SPA o a sus clientes.

2. Alcance

Esta política se aplica a todos los proveedores de productos, servicios tecnológicos, servicios profesionales, consultores externos, socios estratégicos y cualquier tercero con acceso físico o lógico a los activos de información o sistemas de TTPSEC SPA.

3. Principios Rectores

• Seguridad desde la contratación: La evaluación y selección de proveedores incluirá criterios de seguridad de la información.

• Acceso mínimo necesario: Los terceros tendrán acceso solo a la información o sistemas estrictamente necesarios para cumplir su función.

• Responsabilidad contractual: Toda relación estará regida por contratos que incluyan cláusulas de confidencialidad, cumplimiento normativo y deberes de seguridad.

• Supervisión y revisión: Se realizarán controles periódicos, evaluaciones y revisiones sobre el desempeño de los proveedores con impacto en el SGSI.
  
  

4. Clasificación de Terceros

Los proveedores se clasifican según su nivel de criticidad:

• Críticos: Acceden a datos sensibles, sistemas centrales o participan en procesos clave (ej. servicios cloud, software de seguridad, asesoría legal).

• Moderados: Proveen servicios de soporte o administración (ej. contabilidad, hosting no crítico).

• Bajos: No tienen acceso a información o sistemas sensibles (ej. proveedores logísticos, mantenimiento físico externo).
  
  

5. Evaluación y Selección

Antes de la contratación, los proveedores críticos deberán:

• Completar una evaluación de riesgos del SGSI.

• Demostrar cumplimiento de buenas prácticas de seguridad (ej. ISO 27001, GDPR, SOC 2 si corresponde).

• Aceptar y firmar acuerdos de confidencialidad (NDA) y cláusulas de privacidad.

• Ser aprobados por el Líder de Seguridad IT/OT o el Arquitecto de Ciberseguridad.
  
  

6. Obligaciones Contractuales

Todo contrato con terceros relevantes deberá incluir:

• Compromisos de confidencialidad y no divulgación.

• Reglas claras sobre tratamiento de información.

• Obligación de notificar incidentes o brechas de seguridad en un plazo máximo de 24 horas.

• Condiciones de retorno, eliminación o destrucción de datos al finalizar la relación.
  
  

7. Monitoreo y Revisión de Proveedores

• Se revisará periódicamente el cumplimiento de las obligaciones de seguridad.
  
  

• Los proveedores críticos podrán ser auditados por TTPSEC SPA, previa coordinación.
  
  

• En caso de incidentes atribuibles a terceros, se activarán acciones correctivas y, de ser necesario, sanciones contractuales.
  
  

8. Responsabilidades

• Gerente Comercial: Supervisa la correcta inclusión de cláusulas de seguridad en contratos con clientes y terceros.
  
  

• Líder de Seguridad IT/OT y Arquitecto de Ciberseguridad: Evalúan técnicamente a los proveedores críticos y definen controles aplicables.
  
  

• Oficina Tributaria y Legal Externa: Revisa los contratos y acuerdos legales, asegurando su alineación con regulaciones vigentes (Ley 21.719, GDPR, etc.).
  
  

9. Control de Cambios

Versión: 1.0
Fecha: 01/06/2025
Cambio: Versión inicial
Aprobado por: Gerencia General