Cuestionario de Evaluación de Seguridad para Proveedores

Información Comentarios
Nombre de la empresa proveedora Virtual Contact Corp Sac
Nombre y cargo de la persona que completa este Angel Salazar Casella
Descripción general del servicio brindado por la empresa proveedora Servicio de promoción, venta y comercialización
Descripción detallada del servicio brindado por la empresa proveedora Ofrecimiento de préstamos personales y/o crédito de consumo
¿El tipo de servicio brindado incluye la utilizacion de algún sistema de información proporcionado Si
Descripción general del sistema de información Crm tercerizado
Nombre y dirección de la empresa que aloja el sistema de información Metricall Sac
¿Quién es responsable de la administración del sistema de información? Área de TI de Virtual Contact
¿Quién es responsable por la resolución de problemas ante incidentes de seguridad en el sistema de Metricall Sac
¿Se ha realizado alguna prueba de penetración por un tercero Si
¿La empresa proveedora cuenta con alguna acreditación vigente de seguridad (por ejemplo ISO Si.
¿Cuenta con un diagrama de red del ambiente de producción usado para el servicio brindado a Si.
¿Cuenta con reglas del Firewall usadas para el servicio con Banco? Si

Sección Tema Guía para las Respuesta y Ejemplos Respuesta del Proveedor
¿Hay una política de seguridad documentada? Contamos con una politica de seguridad documentanda, la cual es
¿Cómo se comunica a los empleados la política comunicada a través de un programa de capacitación al momento de
documentada de Riesgos de Seguridad de la su inducción y posterior firma de su asistencia.
Información? Se realiza un cuestionarios para su evaluación y entendiemiento de la
¿Cómo demuestra la ¿Qué procedimientos de cumplimiento son utilizados misma.
gerencia el apoyo y para asegurar que la política sea leída, entendida e
dirección a la implementada?
Seguridad de la Resumen de las responsabilidades de la gerencia
información? respecto a la seguridad.
Clara definición de roles y responsabilidades dentro de
la estructura de la organización
Foro de organización de la seguridad con una
representación apropiada de la Ata Gerencia.
Uso de reportes de monitoreo y declaraciones de No aplica.
cumplimento. Revisiones periódicas in situ de la
operación tercerizada.
Reuniones periódicas de monitoreo del servicio con el
Para cualquier tipo de
Política de proveedor.
operación tercerizada
Seguridad y Requerimientos de seguridad explícitamente detallados
Organización en el contrato de servicios, incluyendo un proceso de
respuesta ante incidentes de amenazas y un proceso de
administración de vulnerabilidades de seguridad.
 Política de
Seguridad y
Organización

¿Cómo se aseguran Se realizan revisiones y actualizaciones de forma anual y se evalua si

que la política de requiere actualizarse.
seguridad,
Revisiones regulares de gerencia.
estándares y
procedimientos están
actualizados?
Evaluaciones de riesgos realizadas. A través de nuestra área de TI, la cual se encarga de revisar de forma
¿Cómo son Mantenimiento de un inventario de activos y diaria las amenzas y vulnerabilidades.
administradas las clasificación de datos para asegurar la apropiada
amenazas y manipulación/almacenamiento/destrucción de
Vulnerabilidades? documentos, etc.
Aseguramiento apropiado frente a los riesgos de TI.
¿Existe una política Si con fecha 16/01/2023
de Escritorios Hay una política documentada con fecha dd/mm/aaaa.
Limpios?
¿Cómo se aseguran Contamos con un área de selección de personal que garantiza el
Revisión de referencias laborales / otras verificaciones
que el personal debido proceso de reclutamiento de personal a través de revisión de
de empleos anteriores.
cuente con su cv documentado y llamadas teléfonicas para verificación de
Obtención de evidencia de calificaciones académicas y
habilidades referencias.
profesionales.
apropiadas y
Revisión de estados crediticios.
capacitación para
Revisión de registros policiales y criminales.
cumplir con el
Revisión de otros identificadores (por ejemplo,
servicio prestado a
pasaportes).
Banco?
Los contratos de empleo incluyen: Los contratos de trabajo incluyen cláusulas de confidencialidad.
Cláusulas de confidencialidad. Adicionalmente se da capacitación de seguridad de la información.
Referencia a responsabilidades de seguridad.
Penalidades / procedimientos disciplinarios en caso de
¿Cómo se aseguran
incumplimiento.
que las
Existen procesos disciplinarios en caso de
responsabilidades de
incumplimiento de las políticas de seguridad, de
seguridad son
conformidad con la legislación laboral vigente.
atendidas por el
Declaraciones de empleados sobre de cumplimiento de
personal?
responsabilidades de seguridad y otros requerimientos
legales y regulatorios.
Se cumplen todos los controles que la ley de protección
de datos personales demanda.
¿Cómo se aseguran Los contratos de empleo incluyen: Los contratos de servicio incluyen cláusulas de confidencialidad y de
que las Cláusulas de confidencialidad. servicios.
responsabilidades de Referencia a responsabilidades de seguridad.
seguridad son Penalidades / procedimientos disciplinarios en caso de
atendidas por los incumplimiento.
proveedores que Declaraciones de empleados sobre de cumplimiento de
Control de Recursos intervienen en el responsabilidades de seguridad y otros requerimientos
Humanos servicio a Banco? legales y regulatorios.
Control de Recursos
Humanos
¿Qué medidas toman Tenemos un diagrama o sistema de backups que garantiza el flujo en
ustedes (o sus la continuidad del negocio.
proveedores que Adecuado personal de respaldo en todos los puestos y
intervienen en el responsabilidades claves.
servicio a Banco) para Procedimientos completamente documentados.
evitar el exceso de Planificación de sucesión de cargos.
dependencia en
personal clave?
¿Cómo se aseguran Tenemos capacitaciones de manera constante con el equipo de ventas.
que el personal
cuente con
Cursos formales de capacitación.
habilidades
Tutoría.
apropiadas y
Capacitación en el puesto de trabajo.
capacitación para
Programas de certificación.
cumplir con el
servicio prestado a
Banco?
Procedimiento de finalización de relaciones laborales Informan al área de sistemas la baja y se le quita todos los permisos
que incluye la eliminación de accesos a edificios, de acceso que tienen el usuario.
sistemas, etc.
¿Qué controles Comunicación automatizada desde planillas/RRHH
tienen para cubrir la hacia los departamentos responsables de la revocación
renuncia o de accesos físicos al edificio y acceso lógico a los
destitución de sistemas de la empresa.
personal? Revisiones regulares de derechos de accesos a los
sistemas.
Fecha de expiración automatizada en el sitio del
proveedor y accesos
El acceso debe a los sistemas.
ser controlado todo el tiempo.
No Aplica, estamos en home office
Todos los accesos deben ser autorizados y registrados
por la gerencia
designada.
El acceso de los visitantes debe ser autorizado,
justificado y supervisado.
¿Cómo previenen el
Guardias de seguridad dispuestos en horario 24x7.
acceso no autorizado,
Monitoreo con CCTV del perímetro puntos de acceso
daño
externos.
y/o interferencia a las
Los centros de cómputo y áreas de procesamiento
instalaciones del
sensibles no cuentan con ventanas que dan
negocio?
directamente hacia la calle.
Las áreas de procesamiento sensible están segregadas
con controles de acceso adicionales.
La localización de las instalaciones están de acuerdo a
un propósito
específico.
 Protección anti-incendios adecuada e implementada. No Aplica, estamos en home office
Zonas de acceso físicamente segregadas dentro del
edificio.
Cobertura CCTV.
Mecanismos de control de acceso (por ejemplo
¿Cómo previenen el
sistemas de pase de tarjetas, sistemas biométricos,
acceso no autorizado,
etc.) incluyendo procesos de autorización, revisión y
daño
revocación.
y/o interferencia a los
Accesos a los centros de cómputo permitidos sólo a
equipos de negocio
Seguridad Física y personal autorizado.
y/o instalaciones de
Ambiental Acceso de personal externo (ingenieros de
procesamiento de
telecomunicaciones y servicios, personal de limpieza,
Banco?
etc.) restringido y supervisado.
Todos los servidores y componentes de red deben ser
apropiadamente ubicados en estantes (racks) al menos
que cuenten con componentes que le permitan
mantenerse en pie.
Acondicionadores de aire con sensores de calor y de No Aplica, estamos en home office
humedad.
Sistemas de supresión de fuego a base de gas, Techos y
pisos falsos.
¿Qué controles
Sistema de detección de inundaciones.
ambientales disponen
VESDA.
para
Suministro de electricidad ininterrumpido (UPS).
proteger los
Generador (es) de respaldo.
ambientes de
Ubicación alejada de áreas de inundación.
sistemas?
Alimentación dual de electricidad y conexiones de red
con capacidad de recuperación.
Los cables deben estar apropiadamente encaminados y
asegurados.
Sistema de administración de edificios. No Aplica, estamos en home office
¿Cómo se aseguran
Monitoreo 24x7.
que los controles
Planificación de mantenimiento.
ambientales
Ingenieros in situ.
permanecen
Repuestos para el mantenimiento se encuentran en el
efectivos y
mismo edificio.
operativos?
Contratos de mantenimiento actualizados.

¿Cuál es su política respecto a la clasificación y
manipulación segura de datos de terceros (por ejemplo
Banco)?
¿Cómo aseguran la
Descripción de procedimientos de medios de
manipulación segura
almacenamiento de
de la data
información y manipulación (por ejemplo discos, cintas,
proporcionada por
CDs, etc. almacenados en sitios seguros), todos los
Banco?
medios se encuentran debidamente etiquetados.
Qué datos se almacenan en la solución (por ejemplo,
datos personales de los clientes, asientos contables, etc) controles de acceso. Los datos almacenados se basan en el acuerdo
Los datos se claifican de acuerdo a su nivel de confidencialidad y
accesibilidad, funcionalidad e impacto en caso de pérdida de
información. De acuerdo a los roles y permisos (de acuerdo al
privilegio mínimo) los usuarios pueden acceder y manipular la
información. Esto se da de acuerdo a si son agentes, supervisores o
administradores. Los datos de Banco solo son accesidos solo por el
administrador de los dato, por un canal encriptado, luego son
cargador mediante el aplicativo encargado de realizar las cargas al
marcador telefónico. Estos datos son almancenados en una base de
datos la cuál se encuentra debidamente asegurada con firewall y con
que se tenga con el cliente.

Seguridad de Data proporcionada en medios de almacenamiento

Medios de (cintas, CD, diskettes, etc.) - Todas las etiquetas son
Almacenamiento, eliminadas.
Datos y Desecho ¿Qué métodos de eliminación permanente de
información son utilizados?
Destrucción física de los medios de almacenamiento,
Los datos son eliminados desde las bases de datos elminando tanto la
¿Cómo aseguran la por ejemplo, trituración, incineración.
aplicación de base de datos y la máquina virtual que aloja la base de
adecuada eliminación Uso de un proveedor especializado con contratos
datos ya que los servidores son virtualizados por un proveedor de
/ destrucción de la adecuados.
servicios. Los equipos físicos como laptops solo cuentan con un
data proporcionada Archivos de datos proporcionados electrónicamente
borrado a nivel de formateo de disco 2 veces como mínimo. Si es
por Banco? (por ejemplo, transferencia de archivos, documentación
requerido se puede contratar un proveedor de eliminación de datos.
adjunta a correos electrónicos) residente en discos
duros de servidores/PC.
Identifique cualquier programa usado para eliminar
data de Banco en discos duros de servidor/PC. Describa
el proceso usado para destruir permanentemente la
información de Banco.

¿Cómo aseguran que

Un acuerdo de nivel de servicio (SLA), especificando los
el servicio requerido Nosotros contamos con niveles de SLA con nuestro proveedor de CRM
requerimientos de Banco, procedimientos de control de
es proporcinado en el el cual tienen entre sus funciones dar soporte 24x7 ante incidentes
cambios, etc., será acordado antes del inicio del servicio.
momento adecuado y con sus aplicaciones además de tener a uno de nuestros equipos
Frecuencia de revisión del cumplimiento del SLA.
por la duración capacitados para dar soporte nivel1 en caso se necesiten tiempos
Todos los cortes o reducciones del servicio serán
acordada (por menores al SLA.
notificadas a Banco.
ejemplo 24x7)?
¿El equipamiento y
Identifique cualquier equipamiento que será usado para
servicio estarán Los equipos que los colaboradores usan para la campaña son
proporcionar el servicio y que no están destinados
destinados para el exclusivos para la misma.
únicamente para el servicio a Banco.
único uso de Banco?
 Se realizan backups diarios el cuál incluye el funcionamiento del
Resguardos periódicos de información que cubren
sistema de marcación telefónica y backups semanales para todo el
diferentes periodos de tiempo (por ejemplo: diarios,
sistema incluyendo funcionalidades del marcador como CRM. Se
semanales, mensuales).
realizan backups de las bases de datos así como el código de
¿Cómo aseguran la ¿Qué tipo de backups que se realizan y qué abarcan?
programación. Los backups se encuentran almancenados en un NAS
disponibilidad del ¿Dónde se encuentran almacenados los backups?
con discos reduntantes ubicado en el datacenter del proveedor la cual
servicio en caso de Tiempo y frecuencia de backups que aseguran la
se encuentra debdamente protegida con firewall, IDS/IPS.
falla del sistema? capacidad de recuperación óptima y de recuperación
Adicionalmente se hace una copia mensual a amazon S3. Los backups
dentro de tiempos adecuados para el negocio.
se trasladan por una conexión cifrada SSH o SSL/TLS en el caso de
Protección de backups mientras se encuentra dentro,
amazon y son almancenados por un periodo de 3 meses antes de ser
en tránsito y fuera de las instalaciones.
eliminados.
¿Cómo aseguran que
el sistema está
Requerimientos de capacidad monitoreados y Nuestro proveedor realiza monitoreos de los recursos mediante
adecuadamente
regularmente revisados. Sistemas y monitoreos software de monitoreo el cual almacena logs y además envía alertas
dimensionado para
escalados como corresponden. en tiempo real ante alguna saturación a su equipo de soporte.
cumplir con los
niveles de servicio?
Alertas y monitoreos deben funcionar 24x7.
¿Qué procesos y/o Los procedimientos deben incluir alertas a Banco o
procedimientos cualquier otra alerta significativa, brechas de seguridad
tienen para u otros incidentes. Los servidores son monitoreads 24x7 mediante software de
administrar Procedimientos de respuesta y escalamiento de monitoreo que son alertados al equipo de soporte del proveedor.
problemas de incidentes.
sistema? Las fallas deben ser registradas, investigadas y
Administración de rectificadas.
Sistemas El proveedor debe contar con los nombres de los
contactos en Banco responsables para autorizar
cualquier cambio.
Procedimientos de backup deben ser detallados antes
de la implementación de cualquier cambio.
¿Cómo serán
Todos los cambios deben ser adecuadamente probados
administrados los Los cambios realizados dentro del CRM son manejados por nuestro
en un ambiente de pruebas antes de la implementación
cambios al sistema proveedor previa coordinación con nosotros. Este tipo de cambios
en producción.
del servicio incluye mejoras en el sistema (la cual cuenta con control de versiones)
Los procedimientos para registrar y administrar
proporcionado a y además incluye requerimientos como reportería nueva.
problemas a través de la resolución.
Banco?
Los procedimientos de control de cambios deben ser
acordados y documentados. Estos procedimientos de
cambio deben detallar cómo y cuándo los cambios son
ejecutados e incluir un procedimiento de cambio de
emergencia.
 Los administradores de seguridad no deben ser
usuarios finales.
Deben existir procedimientos de administración de
seguridad y de autorización. Los usuarios finales solo acceden a aplicativos con permisos mínimos y
¿Cómo se encuentra
Debe existir una segregación entre roles, por ejemplo, que son necesarios solo para la gestión de clientes. Contamos con
administrada la
los desarrolladores no deben tener responsabilidades roles y responsabilidades para control interno, además en nuestros
seguridad en
de administración para servicios en producción. roles también se encuentra asignado nuestro proveedor para el
sus sistemas?
Los roles y responsabilidades deben estar claramente control del sistema CRM.
documentados.
Mantenimiento de pistas de auditorías de los accesos
del administrador sujetas a revisiones independientes.
Uso de servicio de alertas de vulnerabilidades.
Listas de correo de proveedores de aplicaciones /
¿Cómo son sistemas operativos sobre alertas de vulnerabilidades y
administrados los nuevos parches.
Este proceso es realizado por nuestro proveedor y lo realiza con
procesos de parche Proceso de evaluación de riesgo.
análisis de vulnerabilidad periódicos a los aplicativos para luego
de sistema e Proceso CERT (Computer Emergency Response Team)
realizar los parches en caso sean necesarios.
identificación de definido.
vulnerabilidades? ¿Qué procedimientos existen para asegurar que los
sistemas en producción no estarán adversamente
afectados por las correciones?
Un proceso de
administración de
Continuidad del
Identifique a las personas con responsabilidad en la
Negocio debe ser
administración de continuidad/recuperación del
implementado para Este proceso es realizado por nuestro proveedor. El cual contempla la
negocio.
reducir la continuidad de los servicios del marcador telefónico y CRM
El plan de recuperación del negocio debe estar
interrupción causada
documentado.
por desastres,
incidentes y/o
fallas de seguridad.

Aspectos de
Seguridad de la
Información en la
Gestión de la
Continudad del
Negocio
 Aspectos de Detallar Plan de Continuidad de las Operaciones,
Seguridad de la Recuperación de TI, Contingencia.
Información en la El plan se ejercita periódicamente (Indicar por favor
Gestión de la frecuencia).
Continudad del ¿Con qué frecuencia son revisados los planes de
Negocio contingencia y recuperación?
¿Con qué frecuencia ¿Con qué frecuencia estos planes son evaluados?
son revisados los ¿Cómo son evaluados?
Este proceso es realizado por nuestro proveedor. El cual cuenta con
planes de Los servicios deben contar con capacidad de
un plan de contingencia ante incidentes y recuperación.
contingencia y recuperación completa al menos que Banco haya
recuperación? confirmado por escrito que no es necesario.
Los servicios deben contar con contingencia al menos
que Banco haya confirmado por escrito que no es
necesario.
La contingencia debe ser proporcionada en una
locación geográficamente separada que debe cumplir
con los controles detallados en esta lista de control.

Estándares documentados de seguridad de plataformas

que cubran el nivel de hardening implementado, por
ejemplo todos los servicios de red, dispositivos,
Los servidores deben procesos, protocolos, utilitarios de red y de sistemas,
estar estandarizados programas y cuentas innecesarias y redundantes deben
Este proceso es realizado por nuestro proveedor, a todos los
y robustecidos ser deshabilitados: todas las operaciones/servicios
servidores donde se aloja nuestro CRM se les ha realizado hardening
(hardened) a un nivel deben funcionar con la mínima cantidad de privilegios
para proteger la red, servicios de aplicaciones y los sistemas
apropiado para el requeridos; uso de un apropiado sistema de seguridad
operativos.
entorno en el que de archivos. Cuentas de usuarios y controles de
operan. contraseñas fuertes (longitud mínima y máxima,
intentos fallidos, historial, bloqueo, etc.). La
configuración debe definirse basada en el principio del
"menor privilegio".
Estándares técnicos de seguridad detallando
configuraciones, estándares de servidores,
¿Cómo aseguran que
configuración del Firewall, etc.
los servidores
Scripts para hardening. Este proceso es realizado por nuestro proveedor realizando pruebas
cuentan con una
Utilitarios proporcionados por proveedores para de penetración.
configuración segura
revisar y evaluar la configuración de seguridad.
y consistente?
Pruebas de penetración llevadas a cabo por la propia
empresa o por expertos externos.
 ¿Las cuentas de usuario y de administración son únicas,
autorizadas y regularmente revisadas?
Las cuentas por defecto han sido eliminadas o
deshabilitadas.
Todas las contraseñas por defecto han sido cambiadas.
Acceso a la Toda actividad significativa es registrada, almacenada y
información y revisada.
procesos del negocio Accesos restringidos a las pistas de auditorías. El CRM nos permite administrar las cuentas de todos nuestros
deben estar Controles de contraseñas apropiadamente colaboradores y asignarles diversos tipos de roles o privilegios. No se
controlados en base a implementados, por ejemplo, longitud mínima de cuenta con contraseñas por defecto, además que el sistema del
los requerimientos de contraseña, expiración e historial de contraseña. proveedor nos permite establecer complejidad de contraseñas y
seguridad y del Todas las cuentas de usuarios tienen privilegios caducidad. Las interaciones que se hagan en el sistema son registradas
negocio, con el mínimos requeridos para cumplir con sus roles. mediante logs para un mayor control.
principio de "menor Cuentas con altos privilegios, por ejemplo root, son
privilegio" usadas bajo procedimientos de control de cambios y no
para la operación diaria de los sistemas. Todos los
accesos a las cuentas son revisadas.
Existen controles documentados respecto al monitoreo
de la autorización, ubicación y uso de
cuentas/contraseñas con altos privilegios.
Todos los riesgos de datos/sistemas están evaluados y
clasificados.
Todos los datos están seguros y sólo accesibles a entes
autorizados.
¿Cómo asegura la
Controles existentes que permiten el acceso a los datos
integridad de datos y Todos los datos estan seguros y solo accesibles a entes autorizados.
a personas autorizadas.
confidencialidad?
Controles criptográficos seguramente administrados si
Seguridad en la se encuentran implementados. Procedimientos
Operativa documentados y cambios claves se realizan bajo control
dual.
Software antivirus interactivo instalado, en donde sea
¿Cómo asegura la apropiado, en servidores y PC.
integridad de su Software antivirus al día con las más recientes
Software Antivirus al dia con la mas reciente actualización
infraestructura de actualizaciones.
computación? Software de integración de seguridad (por ejemplo
Tripwire) integrado.
¿Qué procedimientos Suscripción a listas de correo de seguridad del
existen para fabricante.
mantenerse al día CERT responsable de evaluación de riesgos de Este proceso es realizado por nuestro proveedor, el cual, revisa de
con los parches del seguridad y desarrollo de planes de acción. manera mensual los repositorios disponibles de los sistemas
sistema y de Proceso documentado de administración de operativos y servicios para realizar actualziaciones. La aplicación
seguridad realizando vulnerabilidades de seguridad. cuenta con versiones las cuales son testeadas antes de ser
pruebas adecuadas y Proceso de administración de cambios de emergencia. implementadas en los servidores de producción y las pruebas también
aplicándolas a los Pruebas al sistema para verificar parches y se realizan al terminar la actualización.
servidores de actualizaciones al sistema.
producción? Personal técnico en horario 24x7.

Los datos críticos de

configuración del Se debe mantener una configuración documentada del
sistema deben ser sistema, con control de cambios y de versiones.
SE mantiene un versionamiento del código de la aplicación la cuál es
mantenidos de Las copias de respaldo de la instalación inicial del
desarrollada por el propio proveedor.
acuerdo con las sistema y de actualizaciones subsecuentes deben ser
recomendaciones del mantenidos fuera las instalaciones.
fabricante.

Revisión de
integridad de
archivos de sistemas
IDS basado en Host.
críticos deben ser No se cuenta con HIDS. Solo se cuenta revisión de integridad del
Software para revisión de integridad.
implementados para código de los aplicativos mediante hash.
Scripts para monitoreo de sistemas.
detectar/prevenir
cambios maliciosos
y/o cambios.

Acuerdos uso de código fuente para software

desarrollado a medida.
Proceso de aprobación y autorización para paquetes de
software.
Metodología documentada de desarrollo de sistemas.
Diseño seguro de Web Site y principios seguros de
¿Cómo asegura la
codificación. Para la programación del código el proveedor se basa en OWASP top
integridad de su
Proceso/Función de QA. 10 para riesgos de seguridad de applicaciones web y OWASP top 10
software de
Metodología documentada de pruebas. API.
aplicación?
Mecanismo de cambio y control de versiones.
¿Cuentan con política de Desarrollo Seguro?
¿Se realizan revisiones de seguridad?.
Tipo de Revisión (Escaneo con herramientas, hacking
ético, etc.).
Periodicidad de las pruebas.
 Los permisos de usuarios han sido restringidos a sólo
El acceso a la los sistemas que necesitan para realizar sus trabajos.
información y Los accesos a la aplicación se realizan vía cuentas Los permisios de usuario son asignados por el administrador del
procesos del negocio autorizadas y sujetas a controles estrictos de sistema ya que nuestro CRM permite crear distintos tipos de usuaio
deben ser contraseñas. con distintos tipos de privilegio. El backup de base de datos y
controlados en base a Las cuentas de usuario son regularmente revisadas para aplicación solo es accedido por el proveedor, los backups de las
requerimientos de asegurar que el acceso es aún requerido y es apropiado grabaciones de llamadas son accedidos por una persona con dicho rol
seguridad y del para su función laboral. y responsabilidad.
negocio. ¿Existen controles físicos y/o lógicos para el acceso a
los backups?
Controles de complejidad de contraseñas
implementados (uso de caracteres alfanuméricos,
Controles apropiados
mayúsculas y minúsculas, etc.) El CRM nos permite configurar que tipo de contraseña se le tiene que
de contraseñas
Longitud mínima de contraseñas. solicitar al usuario ,asi como la periocidad de expiracion y el nivel de
deben ser
Expiración de contraseñas. complejidad de la misma.
implementados.
Historial de contraseñas.
Bloqueo de cuenta luego de "n" intentos.
Acceso restringido a las pistas de auditoría.
Pistas separadas de auditoría del servidor.
Acceso no disponible a los registros de auditoría para
los usuarios finales.
¿Qué mecanismos Pistas de auditoría que registren totalmente las
existen para asegurar adiciones/arreglos/eliminaciones y/o otra actividad
que toda transaccional. El proveedor registra los logs del sistema operativo y de la aplicación
actividad significativa Revisiones independientes de registros de auditoría. la cual incluye acciones realizadas dentro de la aplicación tanto para
es registrada, Pistas de auditorías mantenidas de acuerdo a los los usuarios finales, como supervisores y administradores.
almacenada y requerimientos del negocio y/o regulatorios.
revisada? Existen reportes para revisar las acciones realizadas en
las cuentas de usuario.
Existen reportes para revisar las operaciones realizadas
en la Aplicación (accesos a parámetros del Sistema,
accesos a usuarios y perfiles, etc.).
Controles estrictos de base de datos.
Controles estrictos a nivel de archivos/directorios del
Toda la data debe
sistema operativo.
estar asegurada y Se cuenta con controles de acceso para la base de datos por nuestro
Cifrado de los datos de autenticación y de cualquier
disponible proveedor. El transporte de la información es realizado mediante SSL /
data de alto riesgo.
sólo para entidades TLS
Control de Accesos Algoritmos reconocidos de cifrado con longitudes de
autorizadas.
llaves apropiadas.
Backups de datos cifrados.
Control de Accesos

¿Cómo son identificadas y monitoreadas las

vulnerabilidades de seguridad de la aplicación?
¿Cuán frecuentes son aplicados los parches de
seguridad y de aplicación/sistema operativo?
¿Qué procedimientos ¿Cómo aseguran que un parche/corrección no
existen para impactará adversamente en el sistema en producción?
permanecer Suscripción a listas de correos de los proveedores y de
actualizados con los seguridad.
Este proceso es realizado por nuestro proveedor y lo realiza con
parches de aplicación CERT con responsabilidad en la evaluación de riesgos de
análisis de vulnerabilidad periódicos a los aplicativos para luego
y de vulnerabilidades de seguridad y en el desarrollo de
realizar los parches en caso sean necesarios. Dichos parches primero
seguridad, llevando a planes de acción.
se realizan en los servidores de pruebas para luego ser aplicados en
cabo pruebas Proceso documentado de administración de
los servidores de producción
adecuadas y vulnerabilidades de seguridad.
aplicándolas a los Proceso de administración de cambios de emergencia.
servidores de Sistemas de pruebas disponibles para verificar parches
producción? y actualizaciones de sistemas.
Personal técnico en horario 24x7.
Metodología de pruebas de aplicación que incluyan
procesos de pruebas de restauración y cambios de
emergencias.

Acuerdos uso de código fuente para sofware

desarrollado a medida.
Proceso de aprobación y autorización de software en
paquete.
Solo se cuenta con firewall a nivel perimetral con IDS e IPS los cuales
Metodología documentada de desarrollo de sistemas.
protegen al servidor de aplicación monitoreando y registrando todas
¿Cómo aseguran la Diseño seguro de Web Sites y principios de códigos
las interacciones realizadas por el firewall, además el datacenter
integridad de su aplicados.
cuenta con un sofware para monitoreo de patrones para protección
software de Proceso/función de QA.
contra denegación de servicio. Todas las actualizaciones de software
aplicación? Metodología documentada de pruebas.
son implementados en un ambiente de pruebas antes de ser
Mecanismo de control de cambios y de versiones.
implementado en el servidor de producción.
Cuentan con mecanismos para controlan ataques de
DDOS y MDDOS.
Cuentan con mecanismso para controlan número de
intentos y tiempos de reconexión.
 Describa la infraestructura de firewall, uso de DMZ,
VLANS, etc.
¿Los routers hace uso de ACL's?
¿Se utilizarán firewall dedicados para el uso de Banco?
¿Los firewall realizan análisis stateful inspection?
¿Se utilizan sistemas/software de firewall de marcas
conocidas?
¿El dispositivo de Firewall está basado en hardware o
en software? - En
caso sea software, cómo fue robustecida la platatorma
del firewall?
Debe exister una ¿Todos los puertos/servicios innecesanos han sido El servidor de aplicación cuenta con un firewall , IDS/ IPS para
infraestructura removidos? proteger a los servidores de aplicación. Además que se bloquea el
segura y robusta para ¿Todos los accesos han sido prohibidos por defecto y acceso mediante Ips autorizadas. El firewall que se utiliza es
proteger los servicios sólo han sido habilitados los permitidos? opensource Endian Firewall. El servidor y el firewall se encuientran
de Banco frente a ¿La base de datos del clientes es alcanzable a través de monitoreados por software y estos son alertadas al equipo de soporte
conexiones externas. Internet, del proveedor según el escalamiento que tengan.
localizado en una red interna, detrás de múltiples
firewalls, física y
lógicamente segregada de la DMZ?
¿Qué proceso existe para incluir a Banco en el proceso
de autorización de cualquier cambio a la configuración
del firewall?
¿Los firewall cuentan con capacidades de registro y
alertas en línea?
¿Se ha implementado un monitoreo 24x7 con respuesta
inmediata cuando la actividad no autorizada es
detectada?
¿Se han
implementado
sistemas de
detección de
Intrusos (IDS) /
sistemas de
Describa los IDS/IPS de la red y/o basados en host. Solo se tiene IDS/ IPS basados en red.
prevención de
Intrusos
(IPS) en donde se
proporcione servicios
de
Internet?
Pruebas de caja negra/gris/blanca realizadas por el
¿Qué pruebas de equipo de seguridad de la empresa.
segundad han sido Pruebas de penetración de red llevadas a cabo por la
Seguridad en las Se han realizado pruebas de caja gris para el servidor de aplicación del
realizadas a organización y especialistas externos.
Telecomunicaciones proveedor y se realiza cada 6 meses.
la Infraestructura con ¿Con qué frecuencia se realizan estas pruebas?
salida externa? ¿Qué herramientas se utilizan para las pruebas de
seguridad?
 Seguridad en las
Telecomunicaciones

Incidentes relacionados con seguridad deben ser

reportados a través canales adecuados tan pronto
¿Cómo notificarán a
como sea posible.
Banco si un ataque
¿Quién será responsable por la notificación y
significativo es Nuestro proveedor tiene acordado avisarnos en caso suceda un
escalamiento del incidente a Banco?
detectado dentro de incidente de seguridad.
¿A quién dentro de Banco escalarán estos incidentes, o
su
a quién espera escalarlos?
organización?
Proceso documentado de respuesta a incidentes y
administración de amenazas.
¿Qué mecanismos
Sistema de Detección de Intrusos (Host y/o Red) con
existen para
auto-llamada (por ejemplo beeper o SMS) o personal de
identificar y mitigar
seguridad en alerta. Cuenta con IDS /IPS y un sofware para monitoreo de patrones el cual
una brecha de
Centro de Operaciones de red 24x7 con empleados con protege contra ataque DOS estos son alertados vái correo electrónico
seguridad fuera del
habilidades de monitoreo. al equipo de soporte del proveedor.
horario de
Procedimiento documentado de administración de
oficina y en un
incidentes de seguridad.
tiempo adecuado?
Autenticación robusta de dos factores (por ejemplo
tokens).
Acceso para el
Acceso vía una entrada (gateway) segura.
soporte remoto y
Sesiones cifradas.
para la resolución El servidor es accedido mediante Authenticación 2 factores y con
Acceso a la red restringido.
de problemas deben filtrado de IP. La aplicación es accedida mediante Filtrado de IP pública.
Cuentas de soporte son habilitadas mientras dure la
ser estrictamente
actividad de resolución del problema.
controlados.
Toda la actividad de resolución de problemas es
registrada
Los accesosy de
sujeta a unaderevisión
soporte independiente.
proveedores deben estar
dentro de un marco contractual detallando
requerimientos de seguridad.
El acceso debe ser otorgado con los privilegios mínimos
y deben ser revocados luego de haber completado su
Los accesos de objetivo.
soporte de Autorización de sesiones de acceso remoto.
proveedores a sus Concesión y revocación de accesos temporales. No Aplica ,todos los servicios son cubiertos por un solo proveedor.
sistemas deben ser Autenticación de acceso remoto usando mecanismos
controlados. seguros.
Controles de acceso lógico basados en el principio de
"menor privilegio".
Revisión de encriptación/integridad.
Registro y revisión de acciones ejecutadas durante las
sesiones de acceso remoto.
 El diseño, operación,
uso y administración
de los ¿Cómo su organización asegura el cumplimiento con los
Cumplimiento Legal sistemas de
requerimientos legislativos y regulatorios que impactan
y Regulatorio información pueden en su negocio y en el servicio a Banco?
estar sujetas a
requerimientos de
seguridad
contractuales,
regulatorios o legales.