Bienvenidos

Contacto Solutions es una empresa dedicada a la prestación de servicios de Contact Center para cubrir las necesidades comunicativas de empresas que requieran procesos eficientes para contactar sus clientes o prospectos con diversos propósitos.

Políticas de seguridad de la información para proveedores y contratistas

Versión 01

Fecha de emisión: 01/02/2020

1. Objetivo:

El principal objetivo de este documento es establecer el marco normativo en relación a la seguridad de la información para los proveedores y contratistas de Contacto Solutions S.A.S., que en el desarrollo de sus funciones pueda tener acceso a la información, sistemas de información o recursos de la compañía en general, con el fin de proteger la confidencialidad, integridad y disponibilidad de la información y sistemas manejados por la empresa. Para ello, las empresas proveedoras y contratistas a las que se les remitan estas políticas de seguridad se responsabilizan de informar a las personas que destinen en Contacto Solutions S.A.S., así como de obtener su compromiso por escrito de que se comprometen a respetar dichas Políticas.

2. Contrato con el proveedor y/o contratista.

Todo proveedor y contratista en el desarrollo de sus funciones pueda tener acceso a la información sistemas de información o recursos de Contacto Solutions S.A.S. en general debe:

● Contar con su respectiva verificación de idoneidad y estará sujeto a verificación de la documentación e información

● Contar con un contrato por escrito y firmado, adicionalmente se anexará una clausula o documento de garantía de

● El proveedor y/o contratista y sus funcionarios deben conocer y dar cumplimiento a la política de seguridad de la información bajo los términos establecidos por Contacto Solutions S.A.S.

● El proveedor deberá proporcionar la información necesaria a Contacto Solutions S.A.S., de los funcionarios del proveedor que ejecutaran las actividades contractuales.

● Todo incumplimiento por parte del proveedor y/o contratista a la política y acuerdos contractuales o términos normativos establecidos por Contacto Solutions S.A.S en lo que respecta a seguridad de la Información será causal de finalización del contrato y se procederá con las respectivas gestiones judiciales a que se dé lugar.

● No se evitarán los mecanismos y actividades de gestión establecidos por Contacto Solutions S.A.S. que permitan proteger frente a las amenazas que les puedan afectar las redes y a las aplicaciones que las

● Se identificarán tanto las características de seguridad, los niveles de servicio y los mecanismos de gestión para garantizar la seguridad del servicio de redes prestadas por proveedores

3. Ejecución de las funciones contractuales por parte del Proveedor.

● Toda la información relacionada con las actividades de Contacto SolutionsS.A.S se considera confidencial.

● El proveedor deberá cumplir las funciones y obligaciones aplicadas a la utilización de los sistemas de información según la normativa establecida por Contacto Solutions S.A.S.

● La infraestructura tecnológica se ubicará en zonas seguras y protegidos con el fin de reducir los riesgos derivados de las amenazas externas, es responsabilidad del proveedor la seguridad de dichos equipos en caso de ser

4. Uso de infraestructura tecnológica

● Se protegerá la infraestructura tecnológica, que así lo necesite, contra fallos de provisión en el suministro eléctrico, por lo tanto, la conexión de cualquier equipamiento a los circuitos tanto eléctrico como de comunicaciones deberá ser validad por el área de tecnología, con el fin de evitar interceptaciones o daños.

● Se deberá solicitar validación previa y se implementarán medidas de control indicadas, sobre toda la infraestructura tecnológica que por necesidades puntuales e tenga que ubicar fuera de las áreas protegidas en Contacto Solutions S.A.S. o fuera de la organización.

● Todo equipo tecnológico propiedad o en administración Contacto Solutions S.A.S. no podrá salir de las instalaciones sin una autorización por el Director de IT, o personal, esta autorización se debe realizar por correo electrónico o por la herramienta Help Desk, de acuerdo a las Políticas de traslado de equipos de Contacto Contacto Solutions S.A.S. facilitará, en función de las necesidades contractuales, procedimientos de operación actualizados a los proveedores y/o contratistas que los necesiten

● Se prohíben los cambios sobre las infraestructuras y los recursos tecnológicos, de llegar a ser necesarios la aprobación es directamente del Gerente General de Contacto Solutions S.A.S.

● Contacto Solutions S.A.S. facilitara al proveedor o contratista, aéreas locativas y/o equipos tecnológicos para el desarrollo de las actividades

● En función de la criticidad y/o riesgo del servicio contratado, los cambios en la Prestación del servicio deberán ser validados previamente por Contacto Solutions S.A.S.

● Se prohíbe al proveedor o contratista la ejecución de códigos no autorizados. La configuración de los equipos garantizará que el código autorizado funciona de acuerdo con lo definido en la normativa establecida al

● De acuerdo con la necesidad de labor a realizar de los proveedores o contratistas no se autorizan la toma de fotografías a las áreas tecnológicas de Contacto Solutions S.A.S., solo en Director de Tecnología puede autorizar el acceso a estas áreas de acuerdo con sus términos contractuales.

5. Uso de unidades Extraíbles

● La utilización de soportes extraíbles de información deberá ser validada previamente por el Director de IT con la finalidad exclusiva recogida en el contrato de relación. a la finalización de la relación contractual con la empresa, los soportes extraíbles facilitados al proveedor para el desarrollo de sus funciones, deberán ser

● El uso y almacenamiento de información en soportes extraíbles y la manipulación de los soportes estará regulado mediante la normatividad establecida en Contacto

● Se prohíbe el acceso a la documentación de Contacto Solutions S.A.S., ubicada tanto en medios magnéticos o físicos, a la que no se haya dado acceso expreso para el fin descrito en la prestación del servicio contratado.

● Sobre los intercambios de información realizados entre el proveedor de servicio y contacto se establecerán, en función de la criticidad considerada por Contacto

● Solutions A.S controles normativos, procedimentales y técnicos que protejan el intercambio de dicha información.

6. Intercambio de Información

● El intercambio de información y el tratamiento de la misma, quedará regulado mediante el correspondiente acuerdo o contrato de relación entre Contacto Solutions S.A.S. el proveedor y/o contratista receptor de la

● En los casos en los que la prestación del servicio incluya el tránsito de información, se implementarán por parte del proveedor o contratista los controles normativos y técnicos que eviten el uso indebido o el deterioro de la Contacto Solutions S.A.S. se reservará el derecho de auditar estos controles o requerir la implantación de protecciones adicionales.

● Contacto Solutions S.A.S. podrá requerir que la información transmitida mediante mensajería electrónica esté adecuadamente protegida por parte del proveedor o contratista, requiriendo el cumplimiento de una normativa específica y/o la implementación de controles técnicos

● Se prohíbe la transmisión de información de Contacto Solutions S.A.S. a otras organizaciones. En caso de necesidad para la prestación del servicio contratado, el proveedor de servicio deberá solicitar a Contacto Solutions S.A.S. la debida autorización y estará vinculada la información en los acuerdos contractuales de ambas

● Validación previa a la transmisión de dicha información. En función de los niveles de clasificación y los requerimientos legales establecidos Contacto Solutions S.A.S. solicitara controles de seguridad específicos y que podrían ser

7. Supervisión

● Se realizarán por parte de Contacto Solutions S.A.S., controles para verificar que los requerimientos de seguridad establecidos de forma previa a la prestación de servicio han sido implementados y se mantienen en el tiempo correctamente

● Los servicios prestados serán supervisados y revisados periódicamente En función del tipo de servicio se podrán establecer auditorías de

● Contacto Solutions S.A.S. dispondrá de elementos de monitorización que permitan la auditoría de las actividades, las excepciones y eventos de seguridad del proveedor o contratista en función de las necesidades de la organización, disponiendo de estos registros durante el tiempo que se considere con el fin de servir como prueba forense y/o en la supervisión del control de

● Se supervisará el uso de los sistemas de información, por parte del proveedor o contratista y esta información se tratará periódicamente.

● Las actividades de administración y operación que pudieran ser realizadas por parte del proveedor o contratista de servicio sobre los sistemas de información Contacto Solutions S.A.S. 

8. Acceso a la RED

● El proveedor y/o contratista únicamente tendrá acceso a aquellos recursos de red, aplicaciones e información que sean necesarios para el desempeño de las labores propias de servicio contratado. Los derechos de acceso a la misma serán los mínimos posibles en función de dichas Las reglas de control de accesos se establecerán de acuerdo a la “necesidad de saber”.

● Se proporcionará al proveedor acceso a los servicios de red requeridos para la prestación del servicio

● Las conexiones externas de un proveedor o contratista a infraestructuras de Contacto Solutions S.A.S., deberán ser previamente validadas. En función del análisis del riesgo a la conexión, se requerirán controles de seguridad

● Se prohíbe el acceso físico y lógico a los puertos de diagnóstico y de configuración de las infraestructuras de Contacto Solutions S.A.S. En caso de requerirse por definición del servicio, se registrarán dichos accesos.

● Con base a la arquitectura de red segregada, las conexiones a las mismas se realizarán en función de las necesidades concretas de conectividad para la prestación del servicio. Se prohíbe la configuración de rutas o accesos no validos previamente por Contacto Solutions S.A.S.

●el acceso a la información será restringida en función a su necesidad de conocer para los servicios contratados a cada proveedor o contratista.

9. Notificación e incidentes de seguridad de la información.

● El proveedor o contratista estará obligado a notificar cualquier incidente de seguridad que se produzca en la prestación del Esta notificación deberá realizarse a la mayor brevedad a través del correo gestionderiesgos@contactosolutions.com.co. Se emplearán además los elementos de supervisión alertas y vulnerabilidades de que se dispone para detectar incidentes de seguridad de la información.

● Cualquier punto débil, en relación a la seguridad de la información, deberá ser notificado a través del Director de Tecnología. No se deberá intentar comprobar ningún punto débil de seguridad que sospeche que

● La omisión en la notificación de incidentes de seguridad de la información por parte del proveedor será tratada como un incumplimiento a la contractual y a las presentes políticas.