DivisionCero
Políticas, Procesos y Procedimientos

Validación de Cumplimiento con Certificaciones del Proveedor

Verificación de certificaciones ISO 27001, TIER, SSAE 18, entre otras.

Quieres aprender más?

Descarga el Kit de Ciberseguridad.

📋 Información General

Documento: Validación de Cumplimiento con Certificaciones del Proveedor
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: CISO, Equipo de Compras, Gerentes de Proyecto, Equipo Legal, Auditores Internos

🎯 Propósito

Establecer los criterios y procedimientos para validar, verificar y mantener actualizado el cumplimiento de certificaciones de seguridad y estándares de la industria por parte de proveedores y terceros, asegurando que los controles de seguridad declarados sean efectivos y estén alineados con los requisitos de DivisionCero.

🏢 Alcance

Esta política aplica a:

  • Todos los proveedores que manejan datos de DivisionCero
  • Servicios de infraestructura crítica y nube
  • Proveedores de software y aplicaciones
  • Consultores y contratistas con acceso a sistemas
  • Partners tecnológicos y aliados estratégicos
  • Subcontratistas de servicios críticos

📚 Definiciones

  • Certificación de Seguridad: Validación independiente de controles de seguridad por organismo acreditado
  • Auditor Independiente: Tercero calificado sin conflictos de interés para evaluar controles
  • Evidencia de Cumplimiento: Documentación verificable que demuestra implementación efectiva de controles
  • Certificación Válida: Documento emitido por organismo reconocido dentro de periodo de vigencia
  • Re-certificación: Proceso de renovación de certificaciones antes de vencimiento

🛡️ Política

Certificaciones Obligatorias por Categoría

Proveedores de Infraestructura Cloud

Certificaciones Mínimas Requeridas:

  • ISO 27001:2022 (Gestión de Seguridad de la Información)
  • SOC 2 Tipo II (Controles de Servicios)
  • ISO 27017 (Seguridad en Cloud Computing)
  • ISO 27018 (Protección de Datos Personales en la Nube)

Certificaciones Deseables:

  • FedRAMP (para servicios gubernamentales)
  • CSA STAR Level 2 (Cloud Security Alliance)
  • PCI DSS (para procesamiento de pagos)

Proveedores de Centros de Datos

Certificaciones Obligatorias:

  • TIER III o IV (Uptime Institute)
  • ISO 27001:2022
  • SOC 2 Tipo II
  • SSAE 18 / ISAE 3402

Certificaciones Complementarias:

  • ISO 14001 (Gestión Ambiental)
  • OHSAS 18001 (Seguridad y Salud Ocupacional)
  • ISO 50001 (Gestión de Energía)

Proveedores de Software y Aplicaciones

Requisitos Básicos:

  • ISO 27001:2022
  • SOC 2 Tipo II (mínimo categorías de seguridad y disponibilidad)
  • Certificación de desarrollo seguro (BSIMM, SAMM, o equivalente)

Requisitos Específicos por Tipo:

  • ERP/CRM: Certificaciones específicas del fabricante vigentes
  • Herramientas de Seguridad: Common Criteria EAL4+ o FIPS 140-2
  • Comunicaciones: FIPS 140-2 para cifrado

Proceso de Validación Inicial

Verificación de Autenticidad

Pasos Obligatorios:

  1. Obtención directa del proveedor: Solicitar certificados originales con sellos digitales
  2. Verificación con organismo emisor: Confirmar validez en registros públicos oficiales
  3. Validación de vigencia: Verificar fechas de emisión y vencimiento
  4. Confirmación de alcance: Revisar que servicios contratados estén cubiertos

Documentación Requerida:

  • Certificado original con firmas digitales verificables
  • Declaración de aplicabilidad firmada por CISO del proveedor
  • Informe de auditoría externa (resumen ejecutivo mínimo)
  • Evidencia de corrección de no conformidades identificadas

Evaluación de Alcance

Verificaciones Críticas:

  • Servicios específicos incluidos en certificación
  • Ubicaciones geográficas cubiertas
  • Sistemas y procesos certificados
  • Personal y roles incluidos en alcance

Exclusiones Identificadas:

  • Servicios no cubiertos por certificación
  • Sistemas en proceso de certificación
  • Ubicaciones o subsidiarias no certificadas
  • Subcontratistas sin certificación propia

Validación Técnica Profunda

Revisión de Informes de Auditoría

Análisis Obligatorio:

  • Metodología de auditoría empleada
  • Controles específicos evaluados
  • No conformidades identificadas y su resolución
  • Recomendaciones de mejora implementadas

Indicadores de Calidad:

  • Auditor reconocido internacionalmente
  • Profundidad técnica del assessment
  • Evidencia de pruebas sustantivas
  • Seguimiento de acciones correctivas

Validación de Controles Críticos

Controles de Acceso:

  • Gestión de identidades y privilegios
  • Autenticación multifactor implementada
  • Segregación de funciones críticas
  • Monitoreo de accesos privilegiados

Protección de Datos:

  • Cifrado en tránsito y reposo con algoritmos aprobados
  • Gestión segura de llaves criptográficas
  • Clasificación y etiquetado de información
  • Controles de prevención de pérdida de datos

Continuidad Operacional:

  • Estrategias de backup y recuperación
  • Tiempos de recuperación documentados y probados
  • Sitios de contingencia operativos
  • Planes de comunicación de crisis

Monitoreo Continuo de Certificaciones

Seguimiento Automatizado

Alertas Configuradas:

  • 90 días antes del vencimiento de certificaciones críticas
  • 180 días para certificaciones complejas que requieren renovación extensa
  • Notificaciones inmediatas por cambios en estado de certificación
  • Alertas por suspensiones temporales o revocaciones

Herramientas de Monitoreo:

  • Dashboard centralizado con estado de todas las certificaciones
  • Integración con sistemas de gestión de riesgo de terceros
  • Reportes automatizados mensuales para alta gerencia
  • APIs para verificación en tiempo real con organismos certificadores

Verificación Periódica

Frecuencia por Criticidad:

  • Proveedores Críticos: Verificación mensual
  • Proveedores de Alto Riesgo: Verificación trimestral
  • Proveedores Estándar: Verificación semestral

Elementos Verificados:

  • Vigencia de certificaciones en registros oficiales
  • Cambios en alcance o exclusiones
  • Nuevas no conformidades reportadas
  • Estado de auditorías de seguimiento

Gestión de Certificaciones Vencidas

Proceso de Escalamiento

Alerta Temprana (90 días):

  • Notificación automática al proveedor y equipo interno
  • Solicitud de cronograma de renovación
  • Evaluación de riesgos por potencial vencimiento

Alerta Crítica (30 días):

  • Reunión obligatoria con CISO del proveedor
  • Plan de contingencia activado
  • Evaluación de proveedores alternativos

Vencimiento Inminente (7 días):

  • Suspensión de nuevos procesamientos de datos
  • Activación de controles compensatorios
  • Preparación para migración de servicios

Controles Compensatorios

Medidas Temporales (máximo 90 días):

  • Auditoría técnica independiente intensiva
  • Monitoreo continuo en tiempo real
  • Revisiones semanales de logs de seguridad
  • Restricción de acceso a datos más sensibles

Requisitos para Controles Compensatorios:

  • Aprobación explícita del CISO
  • Documentación de riesgos residuales
  • Plan de mitigación con fechas específicas
  • Reporte semanal al Comité de Riesgos

Evaluación de Organismos Certificadores

Criterios de Acreditación

Requisitos Mínimos:

  • Acreditación por organismo nacional reconocido (ANAB, UKAS, etc.)
  • Especialización en esquemas de certificación relevantes
  • Historial comprobado de independencia y objetividad
  • Personal certificado con experiencia demostrable

Evaluación de Reputación:

  • Referencias de otros clientes en la industria
  • Ausencia de conflictos de interés conocidos
  • Registros públicos de sanciones o suspensiones
  • Participación en programas de peer review

Criterios de Calidad de Auditoría

Indicadores Positivos:

  • Tiempo adecuado dedicado a auditoría (mínimo según estándar)
  • Equipo auditor con certificaciones relevantes
  • Uso de metodologías reconocidas internacionalmente
  • Documentación detallada de evidencias

Señales de Alerta:

  • Auditorías completadas en tiempo insuficiente
  • Falta de no conformidades en organizaciones complejas
  • Rotación alta de personal auditor
  • Costos significativamente por debajo del mercado

Integración con Evaluación de Riesgos

Clasificación de Proveedores

Basado en Certificaciones:

  • Nivel 1: Certificaciones completas y vigentes de organismos Tier 1
  • Nivel 2: Certificaciones básicas vigentes de organismos reconocidos
  • Nivel 3: Certificaciones parciales o de organismos de menor reputación
  • Nivel 4: Sin certificaciones adecuadas o vencidas

Implicaciones por Nivel:

  • Nivel 1: Evaluación estándar, monitoreo normal
  • Nivel 2: Evaluación extendida, controles adicionales menores
  • Nivel 3: Due diligence intensiva, controles compensatorios
  • Nivel 4: Prohibición de manejo de datos críticos

Ajuste de Controles Contractuales

Nivel de Certificación vs Controles:

  • Mayor certificación = menor frecuencia de auditorías propias
  • Certificaciones robustas = SLAs de seguridad más favorables
  • Organismos de mayor reputación = menor nivel de garantías requeridas

👥 Roles y Responsabilidades

  • CISO: Aprobar criterios de certificación y excepciones a políticas
  • Gerente de Riesgo de Terceros: Coordinar validación y monitoreo de certificaciones
  • Equipo de Compras: Incluir requisitos de certificación en contratos
  • Equipo Legal: Asegurar cumplimiento contractual de obligaciones de certificación
  • Auditores Internos: Verificar efectividad del programa de validación
  • Gerentes de Relación: Mantener comunicación con proveedores sobre estatus de certificaciones

📊 Cumplimiento y Medición

Métricas del Programa

  • 100% de proveedores críticos con certificaciones vigentes y validadas
  • 95% de certificaciones renovadas antes de vencimiento
  • Tiempo promedio de validación inicial: máximo 10 días hábiles
  • 0 incidentes de seguridad relacionados con certificaciones vencidas

Indicadores de Calidad

  • Porcentaje de certificaciones validadas con organismos Tier 1
  • Número de no conformidades identificadas en validaciones propias
  • Tiempo promedio de respuesta de proveedores a solicitudes de certificación
  • Nivel de satisfacción con proceso de validación (encuesta anual)

Reportes Obligatorios

  • Reporte mensual al CISO sobre estado de certificaciones críticas
  • Dashboard ejecutivo con métricas clave actualizado semanalmente
  • Reporte trimestral al Comité de Riesgos sobre tendencias y issues
  • Reporte anual de efectividad del programa para auditoría externa

🚨 Incumplimiento

Sanciones Graduales

Primera Vez:

  • Plan de mejora con cronograma específico (máximo 90 días)
  • Monitoreo intensificado temporal

Reincidencia:

  • Auditoría extraordinaria a costo del proveedor
  • Penalidades contractuales según lo establecido
  • Restricción de acceso a nuevos tipos de datos

Incumplimiento Crítico:

  • Suspensión inmediata de servicios
  • Terminación de contrato por causa justificada
  • Recuperación de costos por migración forzosa

Excepciones Temporales

Criterios para Aprobación:

  • Riesgo residual aceptable documentado
  • Controles compensatorios efectivos implementados
  • Cronograma definido para obtener certificación
  • Aprobación del CISO y Comité de Riesgos

📖 Referencias

  • ISO 27001:2022 - Information Security Management Systems
  • SOC 2 - Service Organization Control 2
  • ISO 27017:2015 - Cloud Computing Security
  • NIST SP 800-161 - Supply Chain Risk Management
  • CSA STAR - Cloud Security Alliance Security, Trust & Assurance Registry
  • Política de Evaluación y Monitoreo de Terceros
  • Diligencia Debida a Proveedores Críticos

📝 Control de Versiones

VersiónFechaCambiosAutor
1.0.0Enero 2025Versión inicialEquipo GRC

¿Te ha resultado útil esta página?

Última modificación: 25 de agosto de 2025

Registros de Acceso y Autenticación

Monitoreo y auditoría de intentos de acceso y autenticación.