Gestión de riesgos de seguridad

asociados a acuerdos con

proveedores
Instrucción global

Telefónica S.A.
Aprobada por el Director de Seguridad Operativa el 21/02/2023

4ª edición – Febrero de 2023

USO INTERNO
***Este documento está clasificado como USO INTERNO por TELEFÓNICA.
***This document is classified as INTERNAL USE by TELEFÓNICA.
Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

Control de cambios

Versión Fecha Partes que cambian

1.0 Diciembre 2018 Documento original

• Revisión y actualización de los apartados:2.1,

2.2, 2.3,2.4,2.5
• Modificación de título: “Gestión de Riesgos de
Seguridad asociados a contratos con
proveedores” por “Gestión de Riesgos de
Seguridad asociados a acuerdos con
2.0 Junio 2020
proveedores”
• Cambio de formato del documento. Reconecta
• Resumen de tabla RACI en anexo I
• Incorporación anexo II
• Eliminación anexo III

• Referencias a 3PS sustituidas por 3PS+

(aplicación)
3.0 Febrero 2021
• Adaptación de apartados al proceso definido en
3PS+: 1.6, 2.3.1, 2.3.2, 2.3.4, 2.4.1, 2.5 y anexo II.

• Ampliación contenido del apartado 1, alineándolo

4.0 Febrero 2023 con el resto de normativa
• Matizaciones en todos los apartados restantes.

USO INTERNO Página 2 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

Índice
Introducción ......................................................................................................... 4

1.1. Objeto del documento..................................................................................... 4

1.2. Ámbito de aplicación....................................................................................... 4

1.3. Alcance........................................................................................................... 5

1.4. Auditoría Interna ............................................................................................. 5

1.5. Vigencia y derogaciones ................................................................................. 6

1.6. Referencias .................................................................................................... 6

Procedimiento de gestión de riesgos de seguridad de los proveedores ........ 6

2.1. Gestión basada en Análisis de Riesgos .......................................................... 7

2.2. Ciclo de vida del servicio ................................................................................ 8

2.3. Antes de la contratación de un producto/servicio ............................................ 8

2.3.1. Identificación del nivel de criticidad de un producto/servicio .................... 8
2.3.2. Requisitos de seguridad aplicables a los productos y servicios ............. 10
2.3.3. Definición de acuerdos de nivel de servicio de seguridad (ANSS) y
penalizaciones ..................................................................................................... 10
2.3.4. Mecanismos de evaluación de los requisitos de seguridad en función del
nivel de criticidad de un producto/servicio ............................................................ 11

2.4. Durante la entrega/prestación del producto/servicio ..................................... 14

2.4.1. Periodicidad de las revisiones de los acuerdos...................................... 15

2.5. Finalización o renovación de la entrega/prestación del producto/servicio ..... 15

ANEXO I: Matriz de funciones y roles (RACI) ......................................................... 17

ANEXO II: 3PS+ ......................................................................................................... 19

USO INTERNO Página 3 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

Introducción

1.1. Objeto del documento

En el presente documento se identifican los controles que se deben implementar,
supervisar, revisar y mejorar para asegurar que se alcanzan los objetivos de control del
dominio de Seguridad en la Cadena de Suministro definidos en la Normativa Global de
Seguridad, [Ref. 2].

Por cada control se definen los criterios para tener en cuenta en el establecimiento de
este en el caso de las empresas del Grupo Telefónica.

1.2. Ámbito de aplicación

Este documento es de ámbito global y de aplicación obligatoria en todas las
sociedades del Grupo Telefónica sin perjuicio de las particularidades derivadas de la
legislación aplicable a cada una de ellas. A tales efectos, se entenderá por Grupo
Telefónica aquellas sociedades en cuyo capital social Telefónica, S.A. disponga de
forma directa o indirecta de la mayoría de las acciones, participaciones o derechos de
voto o en cuyo órgano de administración haya designado o tenga la facultad de designar
a la mayoría de sus miembros, de tal manera que controle la sociedad de forma efectiva
(en adelante, Telefónica, S.A. o cualquiera de las sociedades de forma individual, la
“sociedad”, la “empresa” o la “compañía”).

Telefónica S.A., en su condición de sociedad matriz del grupo en el que se integra, es

la responsable de establecer las bases, fijar los instrumentos y diseñar los mecanismos
necesarios para una adecuada y eficiente coordinación en materia de seguridad entre
todas las empresas de su grupo; todo ello sin perjuicio de las decisiones autónomas que
puedan corresponderles, de conformidad no sólo con el interés social propio de cada
una de ellas, sino también de los deberes legales y fiduciarios que les sean propios.

Las empresas del Grupo Telefónica deberán difundir e impulsar el conocimiento y el

cumplimiento del presente documento, así como dotar cuantos medios humanos,
materiales, tecnológicos y presupuestarios devengan necesarios para su cumplimiento.

En particular, en el ámbito de protección de activos críticos y/o especialmente sensibles

desde el punto de vista de confidencialidad de la información, resultarán de aplicación
para los responsables de dichos activos aquellas precisiones y medidas de control
contenidas en políticas, protocolos y/o normas internas vigentes relacionadas con la
protección de información altamente confidencial (por ejemplo, información clasificada
como RESTRINGIDA o RESERVADA) y, en concreto, aquella información que esté
identificada en el grupo como “SECRETO EMPRESARIAL”1 – o bien que pudiera

1 Documentos, archivos, conocimientos y/o know-how específicos.

USO INTERNO Página 4 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

constituir el mismo de acuerdo con la legislación aplicable2 – y que, por tanto, sea objeto
de protección reforzada en materia de seguridad. Ver el Reglamento global de gestión
de activos y el Reglamento global de seguridad en la clasificación y tratamiento
de la información, disponibles en el portal Web de normas corporativas del Grupo
Telefónica [Ref. 3].

Asimismo, todos los empleados deberán aplicar aquellas medidas establecidas en el

grupo cuyo objeto sea garantizar la adecuada protección de secretos empresariales
ajenos, es decir, aquellas medidas destinadas a garantizar la protección de la compañía
frente a potenciales intromisiones o actuaciones ilegítimas que pudieran desarrollar los
empleados del Grupo Telefónica respecto de secretos empresariales ajenos.

Cuando se traten de datos de carácter personal, los responsables de los activos

implicados en dicho tratamiento actuarán respetando la Normativa de privacidad y
protección de datos de carácter personal aplicable y, particularmente, atendiendo,
cuando así sea posible o exigible, a los principios de transparencia, proporcionalidad y
legitimación suficiente, de tal forma que los derechos y libertades de los interesados
puedan conjugarse con los fines de protección y seguridad de la información
perseguidos en el presente documento.

1.3. Alcance
Los requisitos que se describen en este documento son de aplicación para gestionar
los riesgos de seguridad asociados a acuerdos con proveedores.

1.4. Auditoría Interna

La Dirección de Auditoría Interna podrá efectuar cuantos análisis y verificaciones
considere convenientes para constatar la correcta aplicación de los aspectos contenidos
en la presente norma.

2 Por ejemplo, en el ámbito de España, de acuerdo con la Ley 1/2019 de 20 de febrero de

Secretos Empresariales, que transpone al derecho español la Directiva de la Unión Europea
2016/943, relativa a la protección de los conocimientos técnicos y la información empresarial no
divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas, debe
entenderse por “secreto empresarial” cualquier información o conocimiento, incluido el
tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes
condiciones: i) ser secreto; ii) tener un valor empresarial, ya sea real o potencial; y iii) haber sido
objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

USO INTERNO Página 5 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

1.5. Vigencia y derogaciones

La presente Instrucción entrará en vigor el día de su aprobación por el Director
Global de Seguridad Operativa, fecha en la que quedó derogado la anteriormente
vigente.

Corresponde a la Dirección Global de Seguridad Operativa ejercitar las facultades de

interpretación que fueran menester.

Este documento deberá revisarse en función de cambios organizativos, legales o de

negocio que se produzcan en cada momento, con el fin de mantener su pertinencia,
suficiencia y eficacia y, en su defecto, con la periodicidad establecida en la “Política
Elaboración y Organización del Marco Normativo”, disponible en el Portal Web de
Normas Corporativas del Grupo Telefónica [Ref. 3].

1.6. Referencias
[1] Política Global de Seguridad.
[2] Normativa Global de Seguridad.
[3] Portal Web de Normas Corporativas del Grupo Telefónica. Disponible en la
Intranet Global.
[4] Aplicación 3PS+: https://telefonicalegal.appiancloud.com/suite/sites/SCS

Procedimiento de gestión de riesgos de

seguridad de los proveedores
Las empresas del grupo Telefónica deben establecer un proceso que gobierne la
selección y gestión de los proveedores, respaldado por acuerdos documentados que
especifican los requisitos de seguridad que deben cumplir, para asegurar un nivel
adecuado de seguridad.

El grupo Telefónica, basándose en sus Principios de Negocio Responsable y su

compromiso con los Objetivos de Desarrollo Sostenible de las Naciones Unidas, ha
establecido su Política de Sostenibilidad en la Cadena de Suministro, que deberán
cumplir todos los proveedores del grupo Telefónica.

Se elabora la presente instrucción “Instrucción de gestión de los riesgos de seguridad

asociados a acuerdos con proveedores”, que establece las obligaciones,
responsabilidades, procedimientos y requisitos de aplicación sobre la base del
Reglamento Global de Seguridad en la Cadena de Suministro, disponible en el
Portal Web de normas corporativas del Grupo Telefónica [Ref. 3]. Esta instrucción

USO INTERNO Página 6 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

considera, de manera integrada, cualquier acuerdo de adquisición o prestación de

productos y servicios que ofrezca un tercero.

La presente instrucción define un procedimiento de gestión de riesgos de seguridad

asociado a acuerdos con proveedores, que permitirá determinar:

• La capacidad del proveedor para aplicar medidas técnicas y organizativas

apropiadas, para garantizar un nivel de seguridad del acuerdo acorde a las
exigencias del Grupo Telefónica.
• Nivel de experiencia y madurez de la tecnología usada por el proveedor, para
entregar/prestar los productos/servicios solicitados.
• Localización geográfica del proveedor y de los activos que soportarán el
producto/servicio y que pudieran suponer amenazas específicas y/o estar
sujetos a legislaciones concretas.

Para ello, el procedimiento permitirá obtener información sobre el proveedor de tal

manera que:
• Se identifique la necesidad de mayor investigación de las capacidades del
proveedor, resultado de falta de información o información inconsistente.
• Se definan los requisitos de seguridad que deben aplicarse al producto o servicio
a contratar, más allá de los términos y condiciones estándar definidos en la
compañía.
• Permita disponer de una valoración del producto o servicio a contratar, en
términos de seguridad.

Por otra parte, el estado de seguridad de los acuerdos de productos/servicios será

validado periódicamente, usando un método que tenga en cuenta la criticidad del
producto o servicio. Además, se proporcionarán las evidencias correspondientes en
cada caso.

2.1. Gestión basada en Análisis de Riesgos

El riesgo, según se describe en el Reglamento Global de Análisis de Riesgos de
Seguridad, disponible en el Portal Web de normas corporativas del Grupo
Telefónica [Ref. 3], tiene dos componentes: el impacto potencial y la probabilidad de
ocurrencia de las amenazas. Por tanto, para evaluar el riesgo del producto o servicios
prestados por proveedores se debe obtener información sobre las amenazas y
vulnerabilidades de dichos productos/servicios, a partir de la que se estimará la
probabilidad de ocurrencia de dichas amenazas.

Esta información, en la mayoría de los casos, no está disponible o no se puede obtener

con criterios homogéneos, por lo que, la gestión basada en riesgos se realizará
atendiendo al nivel de criticidad en términos de seguridad que pueden suponer dichos
acuerdos de terceros.

USO INTERNO Página 7 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

2.2. Ciclo de vida del servicio

Las actividades que se realizarán en cada etapa del ciclo de vida del producto/servicio
se pueden resumir gráficamente como sigue:

2.3. Antes de la contratación de un producto/servicio

2.3.1. Identificación del nivel de criticidad de un producto/servicio

El procedimiento de gestión de riesgos de seguridad asociados a acuerdos con
proveedores atenderá a la criticidad, entendida como impacto potencial del producto o
servicio en la seguridad de los procesos de la compañía. Esto permite establecer los
requisitos de seguridad asociados a la prestación/entrega del producto/servicio y
realizar una adecuada evaluación del rendimiento, en términos de seguridad, del
proveedor. La criticidad del producto/servicio que se desea contratar se establecerá
considerando parámetros que cubran todos los aspectos indicados en el Reglamento
Global de Análisis de Riesgos de Seguridad, disponible en el Portal Web de normas
corporativas del Grupo Telefónica [Ref. 3], y utilizando la aplicación Third Party
Security Plus, en adelante 3PS+, disponible en el enlace:
https://telefonicalegal.appiancloud.com/suite/sites/SCS.

USO INTERNO Página 8 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

A través de la aplicación 3PS+, el área gestora (como responsable del producto/servicio

a contratar) deberá completar el formulario correspondiente para identificar la criticidad
del producto /servicio. Los tres niveles de criticidad posibles son:

Nivel Impacto Características del acuerdo

Criticidad
No pueden afectar a la seguridad física, de las
personas, de los clientes, ambiental o patrimonial,
Despreciable operacional, legal, reputacional, ni suponen un
acceso a información ni a sistemas de información del
Grupo Telefónica.
Pueden afectar a la seguridad física, de las personas,
Baja de los clientes, ambiental o del patrimonio del Grupo
Telefónica, operacional, legal o reputacional de
manera no significativa o suponen acceso a:
Bajo
• Información no reservada ni restringida de la
organización.
• Sistemas de información gestionados por Grupo
Telefónica.
Pueden afectar a la seguridad física, de las personas,
de los clientes, ambiental o del patrimonio del Grupo
Telefónica, operacional, legal o reputacional de
manera significativa o suponen acceso a:
Media Medio • Información restringida (en particular, datos de
clientes) o a un alto volumen de información no
sensible de la organización.
• Servicio en el que el proveedor vaya a manejar
datos de carácter personal.
Pueden afectar a la seguridad física de las personas,
Alto
de los clientes, ambiental o del patrimonio del Grupo
Telefónica, operacional, legal o reputacional de
manera sustancial en la cuenta de resultados o
Alta implican acceso a:

Muy Alto • Información reservada.

• Tiempos de tolerancia a indisponibilidad
restrictivos.
• Datos personales sensibles y/o masivos.

Si, por la naturaleza del servicio no se precisaran requisitos de seguridad, existe la

opción en 3PS+ de dejar constancia de que fue analizado por parte del área gestora y
no son necesarios. Mediante esta opción, no se obtendría un nivel de criticidad.

USO INTERNO Página 9 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

2.3.2. Requisitos de seguridad aplicables a los productos y

servicios
El presente procedimiento de gestión de seguridad de acuerdos con proveedores
establece los requisitos de seguridad en función del nivel de criticidad. Estos requisitos
de seguridad cubren los siguientes dominios de la seguridad:
• Programa de gestión de seguridad.
• Operación de sistemas.
• Seguridad del personal.
• Seguridad de las instalaciones.
• Procesamiento por terceros.
• Continuidad de negocio.
• Cumplimiento.
• Protección frente a malware o software dañino.
• Controles de red.
• Monitorización.
• Control de acceso.
• Desarrollo seguro.
• Gestión de incidentes.
• Criptografía.

El área de Seguridad de cada OB/GBU tiene la posibilidad de agregar requisitos locales

a través de la aplicación.

Adicionalmente, el área gestora podrá incluir, borrar o modificar cualquier requisito de

seguridad que haya generado 3PS+ y, si se considera necesario, podrá incluir cualquier
requisito particular. El conjunto de requisitos de seguridad lo incluirá el área gestora
como parte de las especificaciones técnicas incluidas en el pliego, adjuntándose el
fichero Excel descargable en la aplicación, en el sistema del área de Compras que
corresponda. Este fichero deberá comenzar su nombre con “3PS_”.

2.3.3. Definición de acuerdos de nivel de servicio de seguridad

(ANSS) y penalizaciones
El área gestora establecerá Acuerdos de Nivel de Servicio de Seguridad (ANSS), a nivel
operativo, para recoger todos aquellos aspectos de seguridad que fueran relevantes en
la prestación del servicio. Los ANSS deberán formar parte del acuerdo y/o contrato
establecido entre las partes.

El área gestora deberá definir en los acuerdos los mecanismos que permitan asegurar
que el proveedor cumple con las medidas de seguridad que se hayan establecido
durante la prestación del servicio, como, por ejemplo:
• Penalizaciones al proveedor (llegando a la cancelación/terminación del
acuerdo).
• Incentivos en función de la mejora del producto o servicio, en términos de
seguridad.
• Propuesta y aprobación de mejora de proyectos de seguridad que solucionen
incumplimientos contractuales de rendimiento.

USO INTERNO Página 10 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

El área gestora debe incluir un proceso de seguimiento de los ANSS que incluya, entre
otros, los siguientes puntos:
• Supervisar los niveles de rendimiento del servicio para verificar el cumplimiento
de los acuerdos, en el ámbito de la seguridad.
• Revisar los informes de seguridad del producto/servicio generados por el
proveedor y organizar reuniones periódicas de progreso según sea requerido en
los acuerdos.
• Llevar a cabo mecanismos de evaluación, tal y como se definen en la sección
2.3.4.
• Definir el procedimiento de interlocución, para la gestión de los incidentes de
seguridad, entre el área gestora y el proveedor.
• Revisar las evidencias de mecanismos de evaluación de los proveedores y los
registros de eventos de seguridad, problemas operativos, fallos, errores e
interrupciones relacionados con el servicio prestado.
• Resolver y gestionar cualquier problema de seguridad detectado.
• Garantizar que los requisitos de seguridad se mantienen en toda la cadena de
suministro del proveedor.
• Asegurar que el proveedor mantenga la capacidad de servicio suficiente, junto
con planes viables destinados a garantizar que el nivel de continuidad de servicio
se mantenga después de fallos mayores de los servicios o de desastre.

Estos ANSS deberán ser objeto de seguimiento periódico por el área gestora, ver
sección 2.4.1.

2.3.4. Mecanismos de evaluación de los requisitos de seguridad

en función del nivel de criticidad de un producto/servicio
Existen diversas opciones para evaluar si los proveedores cumplen los requisitos de
seguridad que se hayan definido como parte del acuerdo. Esta evaluación proporcionará
un nivel de garantía inicial. Cuanto mayor sea el nivel de garantía esperado, mayor
detalle deberá haber en el mecanismo de evaluación.

Esta instrucción propone identificar mecanismos de evaluación que proporcionen un

nivel de garantía creciente en función del nivel de criticidad del servicio a prestar por el
proveedor. Es decir, aquellos acuerdos con mayor criticidad deberían utilizar un
mecanismo de evaluación de mayor garantía.

Los mecanismos de evaluación podrían ser los siguientes:

• Autoevaluación: mediante el envío o cumplimentación en línea de un
cuestionario en el que se pide al proveedor que indique si cumple o no con una
serie de medidas de seguridad.
Es el mecanismo que requiere menor dotación de recursos, pues sólo implica la
gestión administrativa del envío de cuestionarios y la recepción de las
respuestas.
Este mecanismo es el que proporciona el menor nivel de garantía sobre la
evaluación resultante. Se solicitará que vaya acompañada de una declaración
responsable firmada por una persona con capacidad de representación del
proveedor.

USO INTERNO Página 11 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

• Evaluación a distancia: consiste en el envío de evidencias documentales que

demuestren la implantación de los controles de seguridad que sean requeridos
por el área gestora del servicio, en función del nivel de seguridad asociado al
acuerdo en cuestión.
Este mecanismo requiere de una dotación mayor de recursos, pues implica
analizar las evidencias proporcionadas por el proveedor y realizar un
seguimiento hasta que dichas evidencias sean consideradas suficientes.
El nivel de garantía resultante es mayor al de autoevaluación, aunque no es
recomendable su utilización para acuerdos de alta criticidad.
• Evaluación in situ de segunda parte: consiste en la revisión por parte de
personal del Grupo Telefónica en instalaciones del proveedor de la efectiva
implantación de las medidas de seguridad que le hayan sido requeridas. Dicho
de otra manera, es el mecanismo recogido en los acuerdos como “derecho a
auditar”.
Este mecanismo es el que supone una mayor dedicación de recursos, ya que
implica que personal del Grupo Telefónica o contratado por éste se desplace a
las instalaciones del proveedor y revise in situ la existencia de las medidas de
seguridad requeridas.
El nivel de garantía ofrecido es elevado, aunque puede generar conflicto de
intereses puesto que es una de las partes la que realiza la revisión (es una
situación común a todas las revisiones de segunda parte).
• Revisión in situ por tercero independiente: la única diferencia de este
mecanismo con el anterior es que la revisión es realizada por un tercero
independiente, es decir, ni el proveedor ni el Grupo Telefónica. Por esta razón
se reduce el riesgo de existencia de conflicto de interés del evaluador.
Una ventaja potencial de esta opción, dependiendo de lo que se negocie
comercialmente con el proveedor, es que el coste de la evaluación suele ser
asumido por el proveedor, puesto que el resultado puede utilizarlo con todos sus
clientes.

Dentro de este tipo de revisiones existen diferentes opciones:

o Atendiendo al tipo de tercero que realiza la revisión y los referenciales
utilizados, podríamos clasificar las evaluaciones en:
- Certificaciones. Realizadas por entidades de certificación, sujetas a
la acreditación de organismos nacionales, conforme a la normativa
internacional tipo ISO. Se evalúan estándares reconocidos por dichos
organismos. El más conocido sería el estándar ISO/IEC 27001 que
se utiliza para la certificación de sistemas de gestión de seguridad de
la información. Dado que se evalúa el cumplimiento de normativas
estándar, sólo son utilizables cuando dichas normativas tengan unos
requisitos equiparables a los establecidos por 3PS+. Por tanto, no se
podrán utilizar estándares que solo definan requisitos genéricos.
Algunos ejemplos de certificaciones con requisitos específicos que
podrían utilizarse son: Uptime Institute para Centros de
Procesamiento de Datos o BSI-C5 y ANSSI-SecNum para servicios
en la nube.

USO INTERNO Página 12 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

- Auditorías. Realizadas conforme al estándar internacional ISAE

3402. En estas evaluaciones los controles evaluados son definidos
por el contratante de la auditoría, por lo que es importante asegurarse
de que dichos controles son los requeridos por el nivel de seguridad
asociado al acuerdo.
Atendiendo a la normativa internacional ISAE 3402, existen distintos
tipos de auditorías:

Auditorías tipo I: son auditorías que garantizan que los controles

diseñados están implementados. Este tipo de auditorías son, por
ejemplo, las que se realizan para las certificaciones más habituales.

Auditorías tipo II: en estas auditorías, además de comprobar que los

controles han sido implementados, se evalúa la efectividad de estos
mediante la revisión de evidencias correspondientes a los 12 meses
previos a la emisión del informe.

- Calificaciones. Realizadas por entidades que actúan como agencias

de calificación privadas. En estos casos, no se realiza una evaluación
de cumplimiento de una relación de controles, sino que, en función de
los controles implantados en el servicio, se obtiene un nivel de
calificación. Por tanto, es necesario evaluar previamente cuál sería el
nivel de calificación mínimo que el proveedor debería obtener para
cumplir con los requisitos específicos del acuerdo. Cuánta mayor
criticidad, más alto deberá ser el nivel de calificación obtenido por el
proveedor. Otra característica de este mecanismo es que garantiza el
nivel de seguridad mientras esté en vigor la calificación, a diferencia
de los anteriores que sólo dan garantías en el momento de emisión
del informe correspondiente.

El área gestora deberá identificar el mecanismo de evaluación necesario, para el

producto/servicio en función de la criticidad una vez que se adjudique el servicio. A
continuación, se muestra una propuesta. Se deja a criterio del área gestora la decisión
del mecanismo de evaluación a aplicar, si lo considera necesario:

Nivel Criticidad Mecanismo de evaluación

Evaluación in situ, ya sea por tercero

independiente o por Grupo Telefónica.

En caso de que el impacto haya sido

Alto
considerado Muy Alto se aplicarán las
medidas de vigilancia adicionales que el área
gestora contratante defina adicionalmente a
las existentes.

USO INTERNO Página 13 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

Nivel Criticidad Mecanismo de evaluación

Medio Evaluación a distancia.

Autoevaluación con declaración firmada por el

Bajo
responsable del proveedor.

Muy bajo No se requiere.

La evaluación, cuya responsabilidad será del área gestora, con el soporte de las áreas
de seguridad si se considera necesario, se realizará siempre asegurando que los
requisitos evaluados son (o se pueden mapear con) los requisitos de seguridad que se
hayan definido. Además, para todas aquellas compras del ámbito del Modelo de
Compras de Telefónica (MCT), el proveedor tendrá que dar cumplimiento a las cláusulas
establecidas en la normativa de sostenibilidad de la cadena de suministro y otros
requisitos identificados en las normas de compras, así como al resto de documentación
aceptada tanto, durante el proceso de registro para ser proveedor del Grupo Telefónica,
como en la RFQ cuando participe en una negociación.

El proveedor deberá dar una respuesta a estos requisitos de seguridad, en el plazo

establecido, para que sean valorados y revisados por el área gestora.

En caso de incumplimientos de requisitos categorizados por 3PS+ como obligatorios, el

área gestora podrá decidir que el proveedor no cumple con los requisitos mínimos para
la entrega/prestación del producto/servicio, siendo no apto para la contratación. Por otro
lado, el área gestora también podría asumir el incumplimiento, de forma temporal,
siempre que el proveedor se comprometa a aportar un plan de acción y un plazo para
la mitigación de dicho riesgo.

El área gestora utilizará la aplicación 3PS+ para realizar el proceso de evaluación de

manera automática, además valorará la respuesta del proveedor a los incumplimientos
de requisitos recomendables y opcionales. El área gestora decidirá, en base a las
características del producto/servicio, si requiere algún plan de acción adicional por parte
del proveedor.

2.4. Durante la entrega/prestación del producto/servicio

El carácter dinámico de los servicios, y la constante evolución de las amenazas y de la
tecnología generan la necesidad de revisar periódicamente el nivel de cumplimiento de
los requisitos de seguridad de los acuerdos de producto/servicios.

USO INTERNO Página 14 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

2.4.1. Periodicidad de las revisiones de los acuerdos

Para realizar una gestión del riesgo de seguridad de los acuerdos, el área gestora
deberá establecer:

• Un mecanismo de revisión de los acuerdos (ver 2.3.4) – Los mecanismos de

revisión deberán aportar mayor nivel de garantía cuanto mayor ser la criticidad.
• Una frecuencia de revisión – Dicha frecuencia será mayor cuanto mayor sea
la criticidad. Se recomienda la siguiente periodicidad para las revisiones de los
requisitos de seguridad en los acuerdos:

Nivel de criticidad Frecuencia de revisión

acuerdo recomendada
Alto Semestral
Medio Anual
Bienal
Bajo*
No necesario

*En el caso de baja criticidad, el área gestora deberá decidir si es o no necesario realizar una
revisión. En la tabla anterior se muestran las recomendaciones.

Estos mecanismos de supervisión no impiden que, de manera adicional, el grupo

Telefónica o el área gestora, pueda realizar las auditorías específicas que considere
oportunas, de acuerdo con su plan de auditoría y los factores de riesgo que se
consideren en cada momento.

Adicionalmente, el área gestora supervisará y revisará periódicamente los ANSS con

proveedores, asegurando que los términos y condiciones de seguridad de los acuerdos
se están cumpliendo, y que los incidentes y problemas de seguridad se gestionan
adecuadamente. Esta revisión puede realizarse a través de 3PS+.

En el caso de desviaciones en los ANSS, el incumplimiento será registrado por el área

gestora y se aprobará un plan de acción, así como la ejecución de la potencial
penalización que se hubiese acordado previamente.

2.5. Finalización o renovación de la entrega/prestación

del producto/servicio
El área gestora debe establecer un modelo de renovación, renegociación y finalización
del acuerdo con los proveedores, desde el punto de vista de la seguridad, que incluya:

• Establecimiento de un método para determinar si hay que cancelar, renovar o

renegociar un acuerdo, basándose, por ejemplo, en si el impacto de un incidente
grave fue suficiente como para recomendar la terminación del acuerdo.
• La planificación del proveedor para la terminación de la prestación del servicio:

USO INTERNO Página 15 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

oRevocación de permisos de acceso lógicos y/o físicos a la información

de la compañía.
o Devolución de activos de información a la compañía.
o Retorno, transferencia o destrucción segura verificada de activos físicos
y activos de información.
• Cumplimiento con acuerdos de licencia y derechos de propiedad intelectual.

Para facilitar esta labor al área gestora, se dispone en 3PS+ de una sección que
sirve de soporte en esta fase.

USO INTERNO Página 16 de 21

 Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

ANEXO I: Matriz de funciones y roles

(RACI)
En este anexo se incluye la matriz RACI de esta instrucción, de tal manera que se
recopilan los roles y actividades involucrados en la gestión de riesgos de seguridad
asociados a acuerdos con proveedores:
• R – Responsable de realizar la actividad
• A – Responsable de que la actividad se realice
• C – Consultado
• I – Informado
Áreas identificadas
DPO /
Business Segu-
Actividades / funciones Compras1 Legal Cumpli-
Units ridad
miento
Identificar del nivel de criticidad de un
A/R C C
acuerdo de producto/servicio
Definir e incorporar los requisitos
mínimos de seguridad en las A/R I C C
especificaciones técnicas
Definir e incorporar requisitos de
seguridad adicionales en las A/R I C C
especificaciones técnicas
Definir e incorporar los acuerdos de
nivel de servicio de seguridad (ANSS) A/R I C
en las especificaciones técnicas
Definir e incorporar penalizaciones por
incumplimientos de ANSS en las A/R I I
especificaciones técnicas
Antes de la
Determinar la necesidad de
entrega/pres
acreditación del nivel de seguridad A/R I C
tación del
previamente a la contratación
producto/se
Definir las circunstancias para la
rvicio
cancelación, renovación o A/R I C C C
renegociación del acuerdo
Circular la RFP a los proveedores con
I A/R
requisitos de seguridad incluidos
Recepción de ofertas de proveedores
con la respuesta a los requisitos de R A C
seguridad
Evaluar las respuestas de los
proveedores e incluirlas como parte de A/R I C
la evaluación técnica
Firmar acuerdos con requisitos de
seguridad con los proveedores e
A/R C
incluirlas como parte de la evaluación
técnica (R-apoderado*)

USO INTERNO Página 17 de 21

 Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

Áreas identificadas
DPO /
Business Segu-
Actividades / funciones Compras1 Legal Cumpli-
Units ridad
miento
Durante la Realizar seguimiento de los planes de
A/R C C C/I
entrega/pres acción derivados de incumplimientos
tación del Realizar seguimiento de los ANSS A/R C/I
producto/se Ejecutar penalizaciones cuando se
A/R C C/I
rvicio produzcan incumplimientos de ANSS
Finalización/
renovación
de la Verificar la correcta
entrega/pres finalización/renovación de la A/R I I I
tación del prestación del servicio
producto
servicio

*Se firmará por parte de los apoderados de la jurídica correspondiente

1
El Área de Compras únicamente participará en procesos gestionados dentro del ámbito
del Modelo de Compras del Grupo Telefónica (MCT) según se describe en el “Manual
del Modelo de Compras de Telefónica“.

USO INTERNO Página 18 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

ANEXO II: 3PS+

La información de requisitos de seguridad aplicables a los acuerdos de servicio se
encuentra disponible en la aplicación 3PS + (Third Party Security) al generar un nuevo
3PS:

La aplicación dispone de un manual en el apartado de documentación.

Los requisitos de seguridad contienen la siguiente información:

• Dimensión a la que aplica el requisito. Confidencialidad: propiedad que impide

la divulgación de información a individuos, entidades o procesos no autorizados;
Integridad: propiedad que busca mantener los datos libres de modificaciones no
autorizadas; Disponibilidad: condición de la información de encontrarse a
disposición de quienes deban acceder a ella.
• Dominio al que aplica el requisito (uno de los 14 enumerados en el apartado
2.3.2).
• Sección en el que se clasifica el requisito (en total existen 76 secciones).
• Control (ES / EN). Descripción del requisito (bien en español, bien en inglés).
• Alto / Medio / Bajo. Indica si el control aplica en la correspondiente línea base
y con qué prioridad:
- Si es obligatorio.
- Si es recomendable.
- Si es opcional.
- Y si no aplica, la celda de intersección pondrá N/A.

Los requisitos de seguridad que se trasladarán al proveedor se encuentran en el Excel

descargable desde la aplicación. Este fichero comenzará su nombre con “3PS_” y se
enviará al área de Compras junto con el pliego técnico, entre otros.

USO INTERNO Página 19 de 21

Gestión de riesgos de seguridad asociados a acuerdos con proveedores
Dirección Global de Seguridad Operativa, Telefónica S.A.

Como área gestora, la primera vez que se accede a la aplicación se registra al usuario
y tiene una vigencia de 90 días. Si hubiera algún problema se contactará con el área de
Seguridad de la OB/GBU.

USO INTERNO Página 20 de 21

 www.telefonica.com

USO INTERNO

***Este documento está clasificado como USO INTERNO por TELEFÓNICA.

***This document is classified as INTERNAL USE by TELEFÓNICA.