Política de seguridad de la información para las relaciones con los proveedores

Los siguientes aspectos se deben tener en cuenta dentro de los acuerdos con proveedores:

1. Contact Car S.A.S acordará los requisitos de seguridad mínimos que deben cumplir los productos y los servicios que se adquieren.
2. Dentro de los acuerdos con proveedores se deberá definir las responsabilidades concretas de ambas partes.
3. Cuando la organización lo determine, establecerá acuerdos de niveles de servicio (ANS).
4. La organización determinará los controles de seguridad que son de obligatorio cumplimiento en las relaciones con los proveedores de servicios tecnológicos. Cuando sea necesario, dichos controles se deben registrar en el acuerdo.
5. Cuando la organización así lo determine exigirá a sus proveedores certificaciones que garanticen la calidad en materia de seguridad de ciertos servicios contratados de especial criticidad.
6. Contact Car S.A.S. implementará mecanismos de seguimiento y revisión a los servicios de proveedores.
7. Cuando sea factible la organización deberá realizará Auditoría de los servicios contratados.
8. Cuando Contact Car lo determine se deberán incluir cláusulas en las que el proveedor suministre información oportuna con relación a los incidentes de seguridad que afecten los productos y/o servicios que suministra a la empresa.
9. Al término de la relación contractual las partes realizarán devolución de los activos de información a que se hayan entregado durante la vigencia del contrato.
10. Proveedores y terceros solo deben tener acceso a la información, sistemas de información o instalaciones que son indispensables para el cumplimiento de sus objetos contractuales.
11. Cuando la organización lo determine se deberán incluir cláusulas a fin de que los proveedores y sus terceros cumplan con la reglamentación en materia de derechos de autor y propiedad intelectual, incluido, pero no limitado al uso de información y software.
12. Los proveedores y terceros que presten sus servicios a Contact Car S.A.S no están autorizados para utilizar los recursos de información y tecnología de la organización para propósitos diferentes a los necesarios para el cumplimiento del objeto contractual suscrito.
13. No está autorizada la ejecución de cambios sobre la infraestructura de información y comunicaciones de Contact Car S.A.S. sin contar con la autorización formal y expresa del área de Infraestructura Tecnológica.
14. No está autorizada la modificación o desactivación de los controles de seguridad instalados en los componentes de información y tecnología de Contact Car S.A.S sin contar con autorización del área de Infraestructura Tecnológica.