Evaluación de proveedores tecnológicos

Evaluación de proveedores tecnológicos

Las organizaciones evalúan varios requisitos durante la selección y homologación de proveedores tecnológicos. Entre ellos:

 El cumplimiento normativo: Verificar si el proveedor cumple con las leyes y regulaciones pertinentes en materia de protección de datos, como el Reglamento General de Protección de Datos (GDPR) en la Unión Europea, o leyes similares como CCPA, ente otras.  

Políticas de privacidad y seguridad: Revisar las políticas de privacidad y seguridad del proveedor para asegurarse de que sean claras, completas y estén alineadas con los estándares de la empresa. Si tiene implantada la ISO 27001 o el ENS en los procesos de negocio y efectivamente implantada con los controles correspondientes.  

Gestión de riesgos: Evaluar la capacidad del proveedor para identificar, evaluar y mitigar los riesgos de privacidad y seguridad asociados con sus productos o servicios. Asegurarse que realmente se cuente con los controles implantados.  

Protección de datos personales: Asegurarse de que el proveedor tenga medidas adecuadas para proteger los datos personales procesados o almacenados en sus sistemas, incluyendo cifrado, pseudonimización y medidas de seguridad técnica y organizativa. 

  •  Los respectivos EIPD.
  • Tiene implantado el principio de privacy by design, cómo, a qué nivel, sobre qué tipo de productos.  
  • En el supuesto que realice transferencia de datos internacionales, el/los correspondientes TIAs.  
  • (...) 

Gestión de incidentes: Verificar si el proveedor tiene procedimientos claros para la gestión de incidentes de seguridad, incluyendo la notificación oportuna de violaciones de datos. 

Auditorías y certificaciones: Considerar si el proveedor está sujeto a auditorías externas o tiene certificaciones de seguridad y privacidad reconocidas que respalden sus prácticas. De ser el caso, qué establece el último informe.

Subcontratación: Si el proveedor utiliza subcontratistas, asegurarse de que también cumplan con los estándares de privacidad y seguridad requeridos por la empresa.  

Localización de datos: Evaluar dónde se almacenarán y procesarán los datos por parte del proveedor, y asegurarse de que cumpla con los requisitos legales y contractuales de la empresa en términos de ubicación de datos. 

Transparencia: Buscar evidencia de transparencia por parte del proveedor en cuanto a sus prácticas de privacidad y seguridad, incluyendo la disposición a proporcionar información sobre sus procesos y controles. 

Historial y reputación: Investigar el historial del proveedor y su reputación en términos de privacidad y seguridad, incluyendo cualquier incidente o violación pasada y cómo se manejaron. 

Capacidades técnicas: Evaluar las capacidades técnicas del proveedor para garantizar que sus sistemas y tecnologías sean robustos y seguros. Por ejemplo:  

  • Seguridad en la nube: Si el proveedor ofrece servicios en la nube, asegurarse de que cumpla con los estándares de seguridad de la nube, como los definidos por proveedores de servicios en la nube líderes como AWS, Azure o Google Cloud. 
  • Políticas de acceso y autenticación: Verificar que el proveedor tenga políticas sólidas de gestión de accesos y autenticación para garantizar que solo personal autorizado pueda acceder a los sistemas y datos sensibles. 
  • Gobernanza del dato:  Establecer políticas claras que definan cómo se deben gestionar, almacenar, proteger y compartir los datos dentro de la organización. Esto puede incluir estándares de nomenclatura, clasificación de datos, niveles de acceso y retención de datos. 

Designar roles y responsabilidades: Asignar responsabilidades claras a los diferentes roles dentro de la organización en relación con la gestión de datos, como los responsables de datos, los propietarios de datos y los responsables de la seguridad de la información. 

Implementar procesos de gestión de datos: Establecer procesos formales para la captura, almacenamiento, procesamiento, análisis y eliminación de datos. Esto puede incluir la estandarización de procedimientos para la entrada de datos, la validación de datos y la gestión de cambios. 

  • Actualizaciones y parches: Asegurarse de que el proveedor tenga un proceso establecido para la aplicación oportuna de actualizaciones de seguridad y parches de software para proteger contra vulnerabilidades conocidas. 
  • Cifrado y seguridad de la red: Verificar si el proveedor utiliza técnicas de cifrado sólidas para proteger los datos en tránsito y en reposo, así como medidas de seguridad de red para proteger contra ataques externos. 
  • (...) 

Evaluación continua: Establecer procesos para monitorear continuamente el desempeño del proveedor en términos de privacidad y seguridad, y tomar medidas correctivas si es necesario. 

Estos requisitos son orientativos, ya que dependen del tipo de servicio o producto proporcionado por el tercero, así como de si nuestra empresa cuenta con alguna norma estándar implementada que exija el cumplimiento de requisitos específicos. 

*********************************************************************************

Regulatory compliance: Check whether the provider complies with relevant data protection laws and regulations, such as the General Data Protection Regulation (GDPR) in the European Union, or similar laws such as CCPA, among others.

Privacy and security policies: Review the provider's privacy and security policies to ensure that they are clear, complete and aligned with company standards. Whether it has ISO 27001 or ENS implemented in business processes and effectively implemented with corresponding controls.

Risk management: Assess the supplier's ability to identify, assess and mitigate privacy and security risks associated with its products or services. Ensure that controls are actually in place.

Personal data protection: Ensure that the provider has adequate measures in place to protect personal data processed or stored in its systems, including encryption, pseudonymisation, and technical and organisational security measures.

  • The respective DPIA
  • Has the principle of privacy by design in place, how, at what level, and on what kind of products.
  • In the case of international data transfer, the respective TIA(s).
  • (...)

Incident management: Check whether the provider has clear procedures for security incident management, including timely notification of data breaches.

Audits and certifications: Consider whether the provider is subject to external audits or has recognised security and privacy certifications that support its practices.

Subcontracting: If the provider uses subcontractors, ensure that they also meet the privacy and security standards required by the company.

Location of data: Assess where data will be stored and processed by the supplier, and ensure that it complies with the company's legal and contractual requirements regarding data location.

Transparency: Seek evidence of transparency from the vendor about its privacy and security practices, including willingness to provide information about its processes and controls.

Track record and reputation: Investigate the provider's record and reputation regarding privacy and security, including any past incidents or breaches and how they were handled.

Technical capabilities: Assess the provider's technical capabilities to ensure that its systems and technologies are robust and secure. For example:

  • Cloud security: If the provider offers cloud services, ensure that it complies with cloud security standards, such as those defined by leading cloud service providers like AWS, Azure or Google Cloud.
  • Access and authentication policies: Verify that the provider has robust access management and authentication policies to ensure that only authorised personnel can access sensitive systems and data.
  • Data governance: Establish clear policies that define how data should be managed, stored, protected and shared within the organisation. This may include naming standards, data classification, access levels and data retention.

Designate roles and responsibilities: Assign clear responsibilities to different roles within the organisation about data management, such as data officers, data owners and information security officers.

Implement data management processes: Establish formal processes for data capture, storage, processing, analysis and disposal. This may include standardising procedures for data entry, data validation and change management.

  • Updates and patches: Ensure that the vendor has a process in place for the timely application of security updates and software patches to protect against known vulnerabilities.
  • Encryption and network security: Check whether the provider uses strong encryption techniques to protect data in transit and at rest, as well as network security measures to protect against external attacks.
  • (...)

Ongoing assessment: Establish processes to continuously monitor the provider's performance in terms of privacy and security, and take corrective action if necessary.

These requirements are indicative, as they depend on the type of service or product provided by the third party, as well as on whether our company has any standards in place that require compliance with specific requirements.

 #data #security #datacompliance #GDPR #software #AWS #ISO #duediligence #dataprotection #privacybydesign

Anabel Carrillo Ciurana

Puedo ayudarte | HSE | Coach | Consultora en Cultura Preventiva | Facilitadora EHS | Creadora del Método PrevenTop | Impulsora del cambio | Enamorada de la metodología Lean & Agile 🌀

8 meses

Un resumen realmente útil Carmen Alegría Kadozono . Muchas gracias!

Inicia sesión para ver o añadir un comentario.

Otros usuarios han visto

Ver temas