Todo servidor utilizado en el ambiente debe contar con un agente para el análisis de

vulnerabilidades que será proporcionado por USACH.

Todo acceso a Internet en algún componente de la solución debe ser gestionado de acuerdo al
criterio del mínimo acceso, delimitando origen, destino y puertos necesarios.

Se debe considerar la mitigación de las vulnerabilidades levantadas por el equipo de seguridad de

USACH en cualquier componente de software parte del proyecto que sea responsabilidad del
proveedor.

Los Datos almacenados en la nube o de forma local del proveedor, deben de protegerse
adecuadamente mediante controles apropiados para evitar la filtración de datos.

Cualquier hallazgo de seguridad debe ser abordado en el backlog y priorizado de acuerdo al riesgo.
Para esto será solicitado datos de pruebas de ser necesarios.

Al momento de la entrega del piezas de desarrollo, se debe acompañar de un informe de análisis

de código seguro proporcionado por el proveedor.

Los componentes de software deben estar en la última versión disponible al momento de la

entrega.

Cualquier código fuente desarrollado debe ser considerado propiedad de USACH.

En caso de ser desarrollada API durante el proyecto, se deberá solicitar y completar la

documentación asociada de seguridad, proporcionada por USACH.

Debe ser contemplado la entrega del anexo “Anexo 2 - Proveedores de Software.xlsx” como
respuesta a esta licitación.

El proveedor debe evidenciar su proceso de desarrollo seguro para los softwares a desarrollar.
y la metodología que utiliza (OWASP, S-SDLC, SSDF)