PROCEDIMIENTO REQUERIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN PARA PROVEEDORES EXTERNOS

Transcripción

1 Códig: 1 de 13 CONTENIDO LISTA DE CAMBIOS...2 FLUJO DE APROBACIÓN OBJETO DETALLE DE REQUISITOS...3 OTECEL S.A.- Telefónica Móviles Ecuadr

2 Códig: 2 de 13 HOJA DE CONTROL DE DOCUMENTOS LISTA DE CAMBIOS Versión Fecha Autr DESCRIPCIÓN 1 15/03/2010 Planificación Ingeniería y Cntrl 2 13/12/2011 Seguridad de la Infrmación 3 01/06/2015 Seguridad de la Infrmación 4 04/08/2016 Seguridad de la Infrmación Unificación de requerimients de Seguridad de la Infrmación y Seguridad Física Revisión de alineamient a Nrmativa Crprativa de Seguridad de la Infrmación Versión 3 Actualización del dcument, inclusión y exclusión de requisits, revisión y alineación a la Nrmativa Crprativa de Seguridad de la Infrmación Versión 4 Actualización del dcument, inclusión en al apartad de Autenticación, la designación de un respnsable para enví de cntraseñas temprales. FLUJO DE APROBACIÓN Elabrad Revisad Aprbad Carls Gaibr Vinueza (Gerente de Seguridad) Juan Carls Marca (Especialista de Análisis de Riesgs de Seguridad de la Infrmación) Santiag Navarrete (Abgad) Eduard Racines (Gerente de Cmpras) Mark Jaramill Orellana Jefe de Seguridad de la Infrmación Cristina Larrea (Gerente Gestión de Persnal) OTECEL S.A.- Telefónica Móviles Ecuadr

3 Códig: 3 de OBJETO Frmalizar la inclusión en ls cntrats cn prveedres externs de ls requerimients de Seguridad de la Infrmación especificads en la Nrma de Seguridad Crprativa versión DETALLE DE REQUISITOS Ámbit/ General Requerimients El cntratista se cmprmete a definir un respnsable en materia de seguridad, quien será el interlcutr para ests temas cn OTECEL y el encargad de hacer cumplir ls requisits de seguridad del acuerd. El cntratista se cmprmete a infrmar ls cambis de persnal que presta servicis para OTECEL. La ntificación se realizará frmalmente mediante crre electrónic al administradr del cntrat definid pr OTECEL, dentr de 24 hras calendari de realizad el suces. El cntratista se cmprmete a gestinar y cnfirmar la eliminación de ls access del persnal que sea dad de baja, la gestión deberá ser realizada dentr de las 24 hras de haber sucedid la salida del persnal. Es respnsabilidad de cada Cntratista, Prveedres y/ Distribuidres hacer negci cn OTECEL de una manera legal y ética. Ls Recurss de Infrmación de OTECEL deben ser usads únicamente para ls fines aprbads pr OTECEL. Ls Recurss de Infrmación de OTECEL deben ser prtegids cntra el us n autrizad, rb, us inadecuad, mdificación accidental n autrizada, revelación, transferencia destrucción. La cnfiabilidad, dispnibilidad e integridad de ls recurss de Infrmación de OTECEL y las actividades de prcesamient de infrmación deben ser prtegidas. Cada Cntratista, y cada Emplead del Prveedr y Distribuidr debe permitir a persnal de OTECEL autrizad a realizar inspeccines de seguridad periódicas debidamente prgramadas en siti, además se deberá slicitar reprtes de auditria extrardinaris del equip de cmputación utilizad en el manej de negcis infrmación de OTECEL; ya sea este equip prpiedad de OTECEL, arrendad cntrlad pr el Cntratista, Prveedr Empleads del Prveedr, Distribuidr. El Cntratista, Prveedr y Distribuidr, deberá tener definid frmalmente un prces de cntratación de persnal. Prcedimients a ser presentads pr el prveedr - Prcedimient de devlución destrucción de la infrmación a la finalización del acuerd. - Prcedimient de cncienciación y frmación en l referente a nrmas de seguridad de la infrmación. - Prcedimient de gestión de cambis del prveedr - Prcedimient de ntificación y gestión de ls incidentes de seguridad: Access n autrizads a la infrmación, Falta de integridad, Indispnibilidad, etc. - Prcedimient de escalad en la reslución de prblemas - Prcedimient de actualización de antivirus OTECEL S.A.- Telefónica Móviles Ecuadr

4 Códig: 4 de 13 Ámbit/ Requerimients - Prcedimient de gestión de parches y actualizacines de seguridad - Plan de Cntinuidad del negci que incluya: Planes de emergencia Planes de cntingencia Recuperación de desastres Plan de pruebas Expectativas de Privacidad Ls Recurss de Infrmación de OTECEL, incluids, per n limitads a, redes de vz, crre electrónic, y mensajes de vz sn prpiedad de OTECEL y, cm tales, deben ser usads únicamente cn el prpósit de negcis de OTECEL. Pr ell OTECEL puede slicitar mnitrear casinalmente pr causa justificada, y/ revisar el us de sus Recurss de Infrmación asignads al pryect específic del cntrat (servidres, equips). Infrme de Infraccines En cas de que cualquier emplead del Cntratista, Prveedr y Distribuidr prestand servicis para OTECEL, sea testig de una infracción cntra ls estándares y regulacines, leyes lcales permiss de licencias, debe reprtar inmediatamente al área de Seguridad de la Infrmación de OTECEL. N se tmarán medidas independientes para crregir un prblema de seguridad a mens que la falta de una respuesta inmediata resulte en dañs irreparables para OTECEL. Si se tma una medida para prevenir dañs irreparables, reprte la medida junt cn un infrme del prblema al Departament de Seguridad de la Infrmación l más prnt psible. Virus y Códig Dañin de Cmputadres Td equip del Cntratista, Prveedr Distribuidr cnectad a la red de OTECEL debe mantenerse libre de virus y trs códigs dañins de cmputadres, debiend ls usuaris de ests sistemas adptar las medidas necesarias para el efect. Td equip del Cntratista, Prveedr Distribuidr cnectad a la red de OTECEL, deberá usar un sftware para prtección de virus debidamente licenciad. Restriccines del Us de Sftware Gestión de Cambis Td sftware instalad en el equip del prveedr que se cnecte a la red de OTECEL, deberá ser previamente autrizad pr OTECEL. Sftware persnal de ls Empleads del Cntratista, Prveedr y Distribuidr n debe ser instalad ni utilizad en ls cmputadres que se cnecten usen recurs de la red de OTECEL. Se prhíbe la instalación y us de sftware gratuit en equips empleads pr el prveedr para dar el servici, except ante autrizacines explicitas dadas pr OTECEL. La licencia y derechs de autr y restriccines de sftware siempre deben ser acatads. Medidas preventivas: Ej. gabinetes cn llave: Deben ser usads para prevenir el us n autrizad, cpia rb de hardware y sftware. Td cambi relacinad al ambiente de Prducción pruebas en las platafrmas instaladas, accedidas y manejadas lcal remtamente, deben OTECEL S.A.- Telefónica Móviles Ecuadr

5 Códig: 5 de 13 Ámbit/ Requerimients regirse al prces de gestión de cambis de OTECEL El Cntratista, Prveedr y Distribuidr que realizan cambis a sistemas, sftware, hardware; llámese cambis Emergentes, Funcinales, Técnics y Express que afecten al sftware, hardware, cnfiguracines, arquitectura, cmpnentes etc.; relacinads al servici brindad, deben cumplir cn tds ls requisits del prces de Gestión de Cambis que se lleva en OTECEL Gestión de Incidentes El Cntratista, Prveedr y Distribuidr debe cntar cn una herramienta, mecanism prcedimient para gestinar incidentes que curriesen en sus platafrmas, sistemas servicis tecnlógics que esté brindand a OTECEL.S.A. El Cntratista, Prveedr y Distribuidr debe tener la capacidad de entregar en un tiemp mutuamente acrdad entre las partes infrmes detalladas de ls incidentes gestinads en ls que debe cnstar tiemps de respuesta, penalidades, cumplimient de Acuerd de Nivel de Servici (ANS). El Cntratista, Prveedr y Distribuidr debe acgerse a ls ANS para la gestión de incidentes especificads en el cntrat. Desarrll de Sftware El Códig de cmputación cread, mdificad, de tra manera prvist para OTECEL debe cumplir cn ls siguientes requisits: Debe ser dcumentad de acuerd a su función y requerimients de us, para OTECEL, N debe cntener ningún códig de acces maestr (identificación, cntraseña, puerta de atrape, caball de Trya, puerta trasera, etc.) al sistema, y n debe cntener ningún virus u tr códig dañin, accesri fecha de expiración. N debe degradar la seguridad al interferir mdificar las funcines nrmales del sistema perativ en el que residirá el sftware. El Cntratista, Prveedr y Distribuidr que realizan el desarrll del sistema de sftware baj la dirección de OTECEL, deben cumplir cn tds ls requisits de desarrll y seguridad de las Plíticas de Seguridad Crprativa de OTECEL. Pr temas de auditría y cntrl, es requisit que en ls sistemas slucines desarrlladas accedidas pr OTECEL, el Cntratista, Prveedr y Distribuidr, cuente cn móduls de gestión para administración de cuentas de usuaris, además deberán cntar cn un cntrl de auditria para cheques permanente. El Cntratista, Prveedr y Distribuidr que realizan el desarrll del sistema de sftware baj la dirección de OTECEL, y el Cntratista, Prveedr y Distribuidr que presten sus servicis cm parte de un acuerd de cnsultría externa, deberán seguir ls requisits de desarrll de sftware en las Plíticas de Seguridad Crprativa de OTECEL y en las Plíticas de tras cmpañías afiliadas. El Cntratista, Prveedr y Distribuidr deben seguir las Plíticas de Desarrll de Sftware establecidas en ls Requerimients de Seguridad para Acuerds Cntractuales. N se deberá mdificar el sistema perativ, códig de aplicacines u tr sftware que pueda impactar negativamente la actual futura seguridad del ambiente del sistema cmputarizad. Se debe tmar en cuenta que al requerir la implementación de un Web Services, se debe cnsiderar las siguientes recmendacines de seguridad: OTECEL S.A.- Telefónica Móviles Ecuadr

6 Códig: 6 de 13 Ámbit/ Requerimients En l psible el Web Services debe crrer sl en el servidr y n cn tra aplicación, que este n tenga una lectura accesible del lenguaje script, y que n sprte lgin remt Cmputadres Prtátiles Cmputadres prtátiles del Cntratista, Prveedr y Distribuidr, empleads para dar el servici cntratad pr OTECEL, deben ser prtegids cntra rb, el prveedr está en la bligación de implementar ls cntrles necesaris para este efect. Cuand el persnal del prveedr maneje en sus cmputadras infrmación, clasificada cm Reservada, Restringida Interna pr parte de OTECEL, el prveedr estará en la bligación de cntar cn una slución de encriptación aprbada pr OTECEL, que asegure la cnfidencialidad de la misma en cas de rb de ests equips. Respald de Infrmación El Cntratista, Prveedr y Distribuidr se debe establecer un prces frmal de respald de infrmación el cual sea validad y aceptad pr OTECEL Infrmación Clasificada Infrmación clasificada cm Reservada, Restringida Interna, (según prcedimients interns) de gbiern u tra infrmación de carácter sensitiv debe ser prtegida de acuerd cn las regulacines y leyes aplicables de OTECEL. OTECEL tiene la respnsabilidad de identificar la infrmación según su clasificación, para que el Prveedr aplique carácter especial en ella. Infrmación Prpietaria Tds ls Cntratistas deben estar cubierts pr un acuerd de privacidad intercambi de infrmación entre ells y OTECEL. Tds ls Empleads del Cntratista, Prveedr y Distribuidr deben estar cubierts pr un acuerd de privacidad ente su empleadr. La infrmación de OTECEL así cm la infrmación prpietaria de ls clientes de OTECEL es privada y Reservada, y n debe ser accedida, usada, transferida, mdificada, revelada, destruida, desechada, except en cnfrmidad cn el acuerd cntractual. Si n se ha lgrad un acuerd entre las partes interesadas, entnces, ls Empleads del Cntratista, Prveedr y Distribuidr n pdrán acceder la infrmación prpietaria de OTECEL y de sus clientes. Prpiedad Intelectual En cas de que el Cntratista Prveedr n esté cubiert pr un acuerd cntractual cn OTECEL que incluya la psesión de asunts de prpiedad intelectual, el Cntratista que accederá a ls Recurss de Infrmación de OTECEL deberá estar cubierts pr un acuerd separad de prpiedad intelectual entre sus empleads y OTECEL, entre el Cntratista y OTECEL. El cncimient que individus cntratads btengan acerca de OTECEL, sus servicis, equip, instalacines, redes, sistemas de cmputación, planes, prcedimients, etc., mientras presten sus servicis para/cn OTECEL n pdrán ser utilizads cn el fin de ventaja persnal el prvech de tras persnas, cmpañías, rganizacines, gbierns. La prpiedad intelectual de OTECEL incluyend el sftware desarrllad OTECEL S.A.- Telefónica Móviles Ecuadr

7 Códig: 7 de 13 Ámbit/ Requerimients exclusivamente pr/para OTECEL n debe ser usad ni revelad a tercers. Identificación Tds ls Empleads del Cntratista, Prveedr y Distribuidr deben tener identificación (usuaris individuales) para cmputadres, sistema y redes de OTECEL. OTECEL debe estar prvist del nmbre, dirección y númer telefónic de cada Emplead del Cntratista, Prveedr y Distribuidr quien tendrá acces al sistema de OTECEL. Empleads del Cntratista, Prveedr y Distribuidr deberán prveer su númer de cédula de identidad cuand se requiera. El númer de cédula de identidad será usad para identificación del usuari en el prces de acces en ls Recurss de Infrmación. Autenticación Las cntraseñas deberán ser manualmente ingresadas cn el fin de cnectarse a cualquier cmputadr sistema de OTECEL. Las cntraseñas u trs mecanisms de autenticidad n deberán ser prgramads en un instrument paquete de sftware cn el fin de evitar el ingres manual del mecanism de autenticación en el mment de cnexión. Cualquier excepción debe ser aprbada pr el Equip de Cntrl de Seguridad de OTECEL. Ninguna cntraseña puede ser utilizada pr más de cuarenta y cinc días debiend el dueñ de la misma cambiarla de frma bligatria. Al definir una nueva cntraseña n se pdrá reutilizar una cntraseña anterir. Una cntraseña debe ser cncida slamente pr el usuari quien la crea. Nadie deberá cmpartir una cntraseña. Si en una situación dada se debe revelar una cntraseña a una segunda persna, el dueñ/a de la cntraseña deberá cambiar la cntraseña apenas la situación emergente haya terminad. A nivel de Prveedres que prestan servicis de Call Center: Si pr la naturaleza prpia del servici, se requiere que una cntraseña sea entregada a un usuari diferente al dueñ de la misma, es decir al usuari quién crea y para quien se generó la cntraseña en base al identificadr únic, el cntratista se cmprmete en definir un representante en materia de seguridad, que para este cas y en base a las plíticas de OTECEL será un funcinari cn nivel de jefatura superir el cual custdiará de frma tempral esa cntraseña y será el respnsable de entregarla al usuari final dueñ del identificadr de acces, a su vez exigirá de manera inmediata el cambi de la misma. Si se identifica que la cntraseña n ha sid cambiada, la respnsabilidad pr cualquier dañ, fall, mal manej acción indebida que se presente, recaerá sbre el funcinari que el cntratista legal haya designad y estará sujet a las sancines legales establecidas pr OTECEL. Una cntraseña cmprmetida, (cntraseña que es cncida) pr tercers nunca debe ser reutilizada. Las cntraseñas deben tener un mínim de seis caracteres. Administradres de sistemas y tras cntraseñas de usuaris, especiales privilegiads deben tener un mínim de ch caracteres. Las cntraseñas deben incluir pr l mens una letra y pr l mens un númer, a mens que sea impedid pr el sistema. Las cntraseñas n deben incluir nmbres prpis cmunes, palabras del idima inglés, ninguna cadena mayr a tres caracteres de la identificación del OTECEL S.A.- Telefónica Móviles Ecuadr

8 Códig: 8 de 13 Ámbit/ Requerimients usuari. Las cntraseñas n pueden cntener una cadena de tres más caracteres numérics alfabétics ascendentes descendentes cm 123, XYZ. Las cntraseñas n deben cntener la ttalidad parte de un númer de teléfn, cédula de identidad, dirección, fecha de nacimient, siglas de la cmpañía el nmbre de un grup de trabaj. Cnexines cn redes La transmisión de dats que cntengan infrmación reservada, restringida interna, n puede ser transferida pr medis que n tengan encriptación en la transmisión y autenticación, tant de sesión cm de usuari, para est se usará VPN (redes privadas virtuales) basada en mecanisms cm IPSEC SSL. El tráfic de autenticación cm el de gestión de ls dispsitivs de cntrl de acces de red, además de servidres remts, deberá ser cifrad (ssh, ssl, mediante aquells mecanisms sprtads pr el tip de red, etc.), Pr l que n se deben usar servicis cm FTP, Telnet, rlgin, rexec, rsh, vnc. Mediante la segregación de tareas y respnsabilidades se debe evitar que una misma persna pueda acceder, mdificar usar una red sin autrización ni psibilidad de detección. La cnexión de la red interna de la empresa OTECEL cn una red externa deberá ser autrizada previamente. Cualquier cnexión de la red interna cn tras redes externas estará prtegida cn un crtafueg cm mínim. N se permitirá el us de módems ni trs mecanisms similares (ADSL, etc.) de cnexión a redes externas en sistemas que estén cnectads a la red interna. Ls crtafuegs y dispsitivs de encaminamient de red del prveedr deberán establecer mecanisms para evitar el "spfing". Cntrl de Acces Ls cntrles de acces deben ser cumplids y n evadids fraudulentamente. La explración n autrizada us del cmand ping u trs similares, en sistemas y redes es estrictamente prhibid. Cualquier intent de acces n autrizad a Recurss de Infrmación de OTECEL, de trs sistemas, está prhibid. Est incluye cualquier frma de ingres a cualquier sistema penetración de seguridad cm prbing, sniffing, brwsing, lping u tras variacines. N se deberá cnectar ningún accesri equip diferente al prvist pr OTECEL a la red interna, sin previ análisis y autrización de Seguridad de Infrmación. N se deberá dejar desatendids ls sistemas que están cnectads a la red. Individus baj cntrat sn respnsables pr el us del sistema y serán asciads a su identificación de usuari. El acces a Recurss de Infrmación de OTECEL deberá ser autrizad pr el auspiciante (Administradr de cntrat) su delegad. El acces pdrá ser revelad a persnas que tengan la necesidad de saber y estén autrizads a recibir dicha infrmación. Empleads del Cntratista, Prveedr y Distribuidr n deberán ser permitids de acceder a ningún bien de OTECEL y cambiar cualquier códig de cmputadr de manera remta, a mens que exista una clausula escrita y OTECEL S.A.- Telefónica Móviles Ecuadr

9 Códig: 9 de 13 Ámbit/ Requerimients aprbada en la descripción de su trabaj. Empleads del Cntratista, Prveedr y Distribuidr pdrán tener acces únicamente a ls bienes necesaris para cumplir su labr. Debid a la naturaleza crítica de cierts Recurss de Infrmación, ls respnsables de aprbar dichs access a ls sistemas de OTECEL serán ls dueñs de ls activs, slicitud que deberá ser gestinada pr el administradr de cntrat de OTECEL, para ls Empleads del Cntratista, Prveedr y Distribuidr. Ls acuerds de privacidad, intercambi de infrmación, y prpiedad intelectual deben estar establecids entre OTECEL y el Cntratista, u OTECEL y el Prveedr, y en cas de ser necesari, el respectiv emplead del prveedr y/ Distribuidr, antes de que se permita el acces a un Recurs de Infrmación de OTECEL. Empleads del Cntratista, Prveedr y Distribuidr pueden tener acces remt, pr ejempl VPN, Internet segur (us de certificads y prtcl https), únicamente a ls sistemas previamente aprbads. Cualquier acces pr medi de un bien de cmputación n estandarizad pr parte de Empleads del Cntratista, Prveedr y Distribuidr deberá estar dcumentad pr escrit y aprbad pr el administradr del cntrat y área de seguridad de la infrmación. Cualquier dispsitiv de acces, pr ejempl una tarjeta SecureID, debe ser devuelta a OTECEL cuand el Prveedr y Distribuidr haya terminad sus actividades. Plan de Cntingencia El Cntratista, Prveedr y Distribuidr debe cntar cn slucines redundantes tant en su Infraestructura de Hardware cm de Sftware, que asegure la cntinuidad del servici que presta para OTECEL, de acuerd a l señalad en la definición de Redundancia en el ANS (Acuerd de Nivel de Servici). Minimizar el grad de expsición del negci frente a las amenazas que puedan afectar a la cntinuidad del mism. Es decir, minimizar la prbabilidad de que una amenaza explte una vulnerabilidad (se prduzca un incidente) mediante la identificación y establecimient de ls cntrles de prevención necesaris Mitigar el impact que se derivaría de la currencia de un incidente mediante el establecimient de ls cntrles de detección y recuperación prtuns. Respnsabilidad Cualquier equip de OTECEL usad pr ls Empleads del Cntratista, Prveedr y Distribuidr deberá ser inmediatamente devuelt a OTECEL apenas su trabaj sea cmpletad haya terminad. Cualquier equip del Prveedr usad pr OTECEL y/ sus empleads deberá ser inmediatamente devuelt al Prveedr apenas su trabaj sea cmpletad haya terminad. Ls términs del presente dcument deben interpretarse en su sentid literal, en el cntext del mism y cuy bjet revela claramente la intención de ls Cntratistas, Prveedres y Distribuidres. En td cas su interpretación se sujetará a l dispuest pr el Departament de Seguridad de la Infrmación de OTECEL. OTECEL S.A.- Telefónica Móviles Ecuadr

10 Códig: 10 de 13 Ámbit/ Administración de Seguridad Requerimients Empleads del Cntratista, Prveedr y Distribuidr n están permitids para realizar funcines de seguridad administrativa, except cuand sean aprbads explícitamente pr OTECEL, de acuerd a ls Estándares de Seguridad Crprativa Cn carácter general, el persnal que trabaja en la empresa (empleads, prveedres y terceras partes) está bligad a: Cumplir cn ls cnsejs, recmendacines, criteris, nrmativas y prcedimients de seguridad de OTECEL PS.SG.SI Obligacines, Recmendacines y Cnsejs de Seguridad Identificarse en el cntrl de acces a ls edificis siempre que le sea requerid PR.SI.SF Cntrl de Acces a instalacines de telefónica Ecuadr Seguir las indicacines del área de seguridad de OTECEL, especialmente en situacines de emergencia incidentes de seguridad PS.SG.SI Ntificación de incidentes de seguridad de la infrmación y PS.SG.SI Gestión a respuesta a incidente de seguridad de la infrmación Cumplir cn ls siguientes criteris en la gestión de las credenciales de acces: Obligacines relativas al persnal Respnsabilizarse de las accines que se realicen cn su identificadr Mantener la cnfidencialidad de las credenciales de acces y n cmpartirlas cn nadie, así cm cmunicar cualquier anmalía incidente (rb, pérdida, extravió, etc.) que tenga cn las mismas al Departament de Seguridad de OTECEL Evitar la escritura, cpia reprducción de las mismas en papel almacenarlas en un ficher sin prtección Cambiar las cntraseñas siempre que sspechen que pudieran haber sid cmprmetidas Cambiar las cntraseñas frecuentemente, al mens cada 45 días Seleccinar cntraseñas fáciles de recrdar per que cumplan cn la sintaxis establecida en nrma de caracteres y lngitud N utilizar las mismas cntraseñas en servicis externs (pr ejempl, en cuentas de crre gratuitas de Internet, etc.) u trs prpósits ajens a la empresa Cumplir cn el prcedimient de eliminación de access del persnal que tenga a su carg, que n preste servici para OTECEL el prveedr asciad. Preservar ls activs de la rganización, incluyend sistemas, equips, infrmación, mbiliari y material de ficina. Ests activs deberán ser utilizads para prpósits relacinads cn el negci de la empresa. Cualquier us de ls recurss instalacines de la empresa cn fines ilegales y/ lucrativs así cm cmerciales prfesinales distints a ls permitids, se encuentra estrictamente prhibid. Utilizar ls sistemas de infrmación y redes de cmunicacines autrizads estrictamente para el cumplimient de sus funcines dentr de la empresa. Cncretamente, ls empleads pdrán utilizar el crre electrónic y ls servicis de Internet cn libertad y respnsabilidad, en el sentid más ampli psible para el desempeñ de las actividades de su puest OTECEL S.A.- Telefónica Móviles Ecuadr

11 Códig: 11 de 13 Ámbit/ Requisits de Requerimients de trabaj. N deben usar ests servicis de frma que pngan en riesg la seguridad y reputación de la empresa (evitar navegar pr sitis n cnfiables, que puedan facilitar la prpagación de virus spam, n realizar descargas de material prtegid pr cpyright, entre trs). Finalizar las sesines que tenga abiertas cuand n las necesite Usar un prtectr de pantalla cn un perid de inactividad máxim de 5 minuts y que necesite ser desblquead pr cntraseña N desactivar ni descnfigurar ls mecanisms de prtección instalads en ls sistemas (crtafuegs persnales, antivirus, etc.) Sól utilizar sftware hmlgad y licenciad pr la empresa N intentar aumentar el nivel de privilegis de su usuari en ls sistemas Brrar cualquier prgrama ficher que impida dificulte el nrmal funcinamient del sistema Velar pr las actualizacines de seguridad del sistema y de las firmas de ls antivirus, de acuerd a ls mecanisms establecids en la empresa Cumplir cn una plítica de "mesa limpia": Guardar baj llave la infrmación sensible impresa en papel almacenada en sprtes N desatender la infrmación en impresras cmunes, fax, etc. Destruir la infrmación sensible en destructras Prteger las PC s cn ls candads de seguridad prprcinads Acceder sól a la infrmación y recurss a ls que se tiene acces autrizad Cumplir cn las nrmas de clasificación y tratamient de la infrmación Está prhibid sacar prvech de las vulnerabilidades debilidades que tengan ls sistemas. Cumplir ls criteris, recmendacines y prcedimients de seguridad que se deben seguir en el teletrabaj Cumplir cn las restriccines de prpiedad intelectual industrial del sftware Cumplir cn la legislación de prtección de dats aplicable, en l que se refiere a su actividad labral en la entidad, veland que ls dats sn veraces, exacts y cmplets Devlver tds ls activs de la empresa (rdenadres prtátiles, teléfns móviles, entre trs) una vez terminada la relación labral cn la misma. En cas de prveedres y persnal extern, la empresa subcntratada será la respnsable de exigir la devlución de ls activs. Guardar, pr tiemp indefinid, la máxima reserva sbre ls dats, dcuments, metdlgías, claves, análisis, prgramas y demás infrmación, en sprte material electrónic, a la que tengan acces durante su relación labral n pudiend divulgarls ni utilizarls directamente a través de terceras persnas empresas. Esta bligación se mantendrá vigente tras la extinción del cntrat labral de servicis. Velar pr la cntinuidad y ls planes de cntingencia de ls servicis y recurss que están asciads a sus actividades. OTECEL S.A.- Telefónica Móviles Ecuadr

12 Códig: 12 de 13 Ámbit/ prtección física Requerimients Tda zna restringida, est incluye per n se limita a: centr de dats, cuarts de cmunicacines y demás áreas que prcesen, almacenen transmitan infrmación clasificada cm reservada restringida deberán cntar cn: Sistema de CCTV de seguridad (circuit cerrad de cámaras) Sistema electrónic de cntrl de acces del persnal Sistema de alarmas, detectres de mvimient. La infraestructura de cmunicacines deberá cumplir cn las nrmas de cablead estructurad vigentes en la industria. Ls centrs de dats y cuarts de cmunicacines que sprten servicis prestads para OTECEL, deberán cntar cn: Tech fals Pis fals Dispsitivs para cntrl de temperatura y humedad según l establecid técnicamente Deberá existir adicinalmente: Prces de registr y cntrl de access a estas znas Prces para cntrl de temperatura y humedad Las instalacines empleadas para dar el servici deberán cntar cn el permis vigente de funcinamient emitid pr ls entes regulatris municipales y estatales. Al interir de una instalación Llevar en un siti visible la tarjeta de identificación persnal asignada pr su empresa Llevar en un siti visible la tarjeta de identificación persnal asignada pr parte de OTECEL en ls cass en que se les haya designad. Identificarse previ a acceder a tda instalación Cumplir prcedimient de cntrl de acces definid en OTECEL Está prhibid ingerir bebidas alchólicas Deberá respetar las nrmas de seguridad establecidas pr OTECEL Deberá hacer buen us de las instalacines Cumplir cn ls prcedimients de Seguridad Física prpis y relacinads Las áreas invlucradas serán las respnsables de ls trabajs a realizarse pr parte de sus prveedres, teniend que en tds ls cass estar presente una persna del área slicitante de ls trabajs cm respnsable. En cas de que ls trabajs requieran de la presencia de persnal de Seguridad, el área respnsable slicitará este servici y el cst asciad a ests trabajs serán asumids y pagads dentr de ls csts de su presupuest En instalacines fuera de las ficinas principales Obedecer ls requerimients de seguridad de dichs lugares N expner a las persnas, instalacines y activs de infrmación a riesgs de seguridad innecesaris Cumplir cn el prcedimient de ingres a instalacines y radi bases establecid pr OTECEL Excepcines de ls Requisits de Seguridad de Si una de las partes cnsidera que existe necesidad de una variación a ls requerimients de seguridad antes manifestads, esta deberá entregar una petición frmal de variación para ser analizada. OTECEL S.A.- Telefónica Móviles Ecuadr

13 Códig: 13 de 13 Ámbit/ infrmación Requerimients OTECEL S.A.- Telefónica Móviles Ecuadr