Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Telefónica S.A.
Aprobada por el Director de Seguridad Operativa el 21/02/2023
USO INTERNO
***Este documento está clasificado como USO INTERNO por TELEFÓNICA.
***This document is classified as INTERNAL USE by TELEFÓNICA.
Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.
Control de cambios
Índice
Introducción ......................................................................................................... 4
1.3. Alcance........................................................................................................... 5
Introducción
Por cada control se definen los criterios para tener en cuenta en el establecimiento de
este en el caso de las empresas del Grupo Telefónica.
constituir el mismo de acuerdo con la legislación aplicable2 – y que, por tanto, sea objeto
de protección reforzada en materia de seguridad. Ver el Reglamento global de gestión
de activos y el Reglamento global de seguridad en la clasificación y tratamiento
de la información, disponibles en el portal Web de normas corporativas del Grupo
Telefónica [Ref. 3].
1.3. Alcance
Los requisitos que se describen en este documento son de aplicación para gestionar
los riesgos de seguridad asociados a acuerdos con proveedores.
1.6. Referencias
[1] Política Global de Seguridad.
[2] Normativa Global de Seguridad.
[3] Portal Web de Normas Corporativas del Grupo Telefónica. Disponible en la
Intranet Global.
[4] Aplicación 3PS+: https://telefonicalegal.appiancloud.com/suite/sites/SCS
El área gestora deberá definir en los acuerdos los mecanismos que permitan asegurar
que el proveedor cumple con las medidas de seguridad que se hayan establecido
durante la prestación del servicio, como, por ejemplo:
• Penalizaciones al proveedor (llegando a la cancelación/terminación del
acuerdo).
• Incentivos en función de la mejora del producto o servicio, en términos de
seguridad.
• Propuesta y aprobación de mejora de proyectos de seguridad que solucionen
incumplimientos contractuales de rendimiento.
El área gestora debe incluir un proceso de seguimiento de los ANSS que incluya, entre
otros, los siguientes puntos:
• Supervisar los niveles de rendimiento del servicio para verificar el cumplimiento
de los acuerdos, en el ámbito de la seguridad.
• Revisar los informes de seguridad del producto/servicio generados por el
proveedor y organizar reuniones periódicas de progreso según sea requerido en
los acuerdos.
• Llevar a cabo mecanismos de evaluación, tal y como se definen en la sección
2.3.4.
• Definir el procedimiento de interlocución, para la gestión de los incidentes de
seguridad, entre el área gestora y el proveedor.
• Revisar las evidencias de mecanismos de evaluación de los proveedores y los
registros de eventos de seguridad, problemas operativos, fallos, errores e
interrupciones relacionados con el servicio prestado.
• Resolver y gestionar cualquier problema de seguridad detectado.
• Garantizar que los requisitos de seguridad se mantienen en toda la cadena de
suministro del proveedor.
• Asegurar que el proveedor mantenga la capacidad de servicio suficiente, junto
con planes viables destinados a garantizar que el nivel de continuidad de servicio
se mantenga después de fallos mayores de los servicios o de desastre.
Estos ANSS deberán ser objeto de seguimiento periódico por el área gestora, ver
sección 2.4.1.
La evaluación, cuya responsabilidad será del área gestora, con el soporte de las áreas
de seguridad si se considera necesario, se realizará siempre asegurando que los
requisitos evaluados son (o se pueden mapear con) los requisitos de seguridad que se
hayan definido. Además, para todas aquellas compras del ámbito del Modelo de
Compras de Telefónica (MCT), el proveedor tendrá que dar cumplimiento a las cláusulas
establecidas en la normativa de sostenibilidad de la cadena de suministro y otros
requisitos identificados en las normas de compras, así como al resto de documentación
aceptada tanto, durante el proceso de registro para ser proveedor del Grupo Telefónica,
como en la RFQ cuando participe en una negociación.
*En el caso de baja criticidad, el área gestora deberá decidir si es o no necesario realizar una
revisión. En la tabla anterior se muestran las recomendaciones.
Para facilitar esta labor al área gestora, se dispone en 3PS+ de una sección que
sirve de soporte en esta fase.
Áreas identificadas
DPO /
Business Segu-
Actividades / funciones Compras1 Legal Cumpli-
Units ridad
miento
Durante la Realizar seguimiento de los planes de
A/R C C C/I
entrega/pres acción derivados de incumplimientos
tación del Realizar seguimiento de los ANSS A/R C/I
producto/se Ejecutar penalizaciones cuando se
A/R C C/I
rvicio produzcan incumplimientos de ANSS
Finalización/
renovación
de la Verificar la correcta
entrega/pres finalización/renovación de la A/R I I I
tación del prestación del servicio
producto
servicio
1
El Área de Compras únicamente participará en procesos gestionados dentro del ámbito
del Modelo de Compras del Grupo Telefónica (MCT) según se describe en el “Manual
del Modelo de Compras de Telefónica“.
Como área gestora, la primera vez que se accede a la aplicación se registra al usuario
y tiene una vigencia de 90 días. Si hubiera algún problema se contactará con el área de
Seguridad de la OB/GBU.
USO INTERNO