POLÍTICA DE SEGURIDAD DE TI.

ESTA POLÍTICA BÁSICA DE SEGURIDAD DE TI ES GOBERNADA POR EL ACUERDO DE LÍNEA PRINCIPAL (EL "MSA"). TODOS LOS TÉRMINOS CAPITALIZADOS BAJO ESTA PÓLIZA DE POLÍTICA DE SEGURIDAD DE TIEMPO DE LÍNEA DEBE SER CONSIDERADOS DE QUE TIENEN EL SIGNIFICADO DADO A DICHOS TÉRMINOS BAJO LA MSA.

COMPROMISOS

• DERECHO A LA AUDITORÍA DE SEGURIDAD

• Acceso a los locales de referencia.

El Cliente que ha ejecutado un Contrato de Servicios Maestro con Baseline tiene permiso para acceder a las instalaciones de Baseline para fines de Auditoría de seguridad, todo sujeto a: (i) el consentimiento previo por escrito de Baseline (que no debe ser retenido injustificadamente); a (ii) cualquier disposición de seguridad razonable de Baseline vigente al momento de dicho acceso, y a (iii) acuerdo sobre los detalles del personal, los plazos, la duración y el alcance de los servicios que se prestan. El acceso se puede negar notablemente en función del conflicto de roles y el impacto en el rendimiento de Baseline.

• Auditoria de seguridad

1. El cliente tiene derecho a realizar auditorías periódicas de los requisitos del entorno de seguridad física.
2. Baseline autoriza al Cliente a inspeccionar / auditar regularmente los procesos y procedimientos de Políticas de privacidad y seguridad de la línea de base implementados con respecto a los Servicios de línea de base, incluidos los siguientes, pero no limitados a

1. Proceso de gestión de riesgos.
2. Proceso de gestión de incidencias y cambios.
3. Pruebas de Seguridad (Vulnerabilidad y Pentest).
4. Directrices de endurecimiento del sistema.
5. BCP y DR y otros servicios y procesos de contingencia.

1. La Línea de base autoriza al Cliente, sin costo adicional, a inspeccionar los procesos operacionales implementados para los Servicios de Línea de base en función del alcance, la extensión y los Acuerdos de línea de base en vigor y vigencia.
2. Baseline reconoce que el Cliente se reserva el derecho de solicitar cambios en los procesos de Políticas de Privacidad y Seguridad de TI de Baseline si se consideran inadecuados; dichos cambios se acuerdan mutuamente, son comercialmente razonables y están sujetos a un marco de tiempo razonable en la ejecución.

• Informes de inspección

1. A cargo del Cliente, Baseline reconoce que se reserva el derecho de recibir informes de auditoría cuando auditores independientes se utilizan para auditar los acuerdos de gestión de riesgos de Baseline para los Servicios básicos, incluidos informes de evaluación de seguridad como pruebas de penetración, evaluaciones de vulnerabilidad, planes BCP / DR , informes de pruebas, etc.
2. Baseline recomienda que el Cliente requiera que se realicen revisiones y evaluaciones independientes al menos una vez al año, o en intervalos planificados, para garantizar que la organización cumple con las políticas, procedimientos, estándares y requisitos reglamentarios aplicables (es decir, auditorías internas / externas, certificaciones, vulnerabilidad y pruebas de penetración).

• INFRAESTRUCTURA OPERATIVA

• Controles fisicos

1. Baseline ha implementado procedimientos adecuados para garantizar que las responsabilidades para el mantenimiento de un entorno operativo seguro se asignen y descarguen adecuadamente.
2. Baseline ha implementado controles físicos y ambientales para proteger el servicio de acuerdo con el nivel de riesgo. Baseline ha abordado las amenazas físicas y ambientales en la evaluación de riesgos.
3. La protección física de los equipos de los Servicios de Línea Base y el área de trabajo de servicio cubre, como mínimo, lo siguiente:

1. Intrusos
2. La seguridad de las personas en situaciones de peligro de incendio, y otras amenazas tales como calamidades naturales (tormentas, ciclones, incendios forestales, etc.) y también calamidades provocadas por el hombre (amenazas de bomba, cualquier actividad maliciosa accidental o intencional).

1. Los sitios donde se administran datos o procesos confidenciales cumplen con los estándares reconocidos (como ANSI / TIA942) para la administración y seguridad de las instalaciones del centro de datos.

• Control logico

1. Baseline garantiza que los equipos de TI (en ubicaciones primarias, de respaldo y de terceros) que se usan para proporcionar Servicios de Base al Cliente separan lógicamente los Datos de Negocio del Cliente y los Datos Personales de los Usuarios de los de otros clientes de Baseline.
2. Baseline garantiza que el entorno del Cliente, en las instalaciones designadas de Baseline, esté al menos lógicamente compartimentado, separándolo del resto del entorno de Baseline para garantizar que no sea posible la penetración de otros entornos de clientes o de la red más amplia de Baseline.

• Restricción de acceso a la red, enlace privado

1. Baseline solo tiene el acceso mínimo a la red del Cliente para poder entregar los Servicios Baseline. Cuando existe la necesidad de que Baseline acceda a algunas aplicaciones, el acceso se proporciona, cuando es posible, a través de un mecanismo de servicios de terminal. Donde no es posible, los sistemas compartidos se ubican en una DMZ específica. Los derechos de acceso en el sistema operativo y los niveles de aplicación también se gestionan para restringir el acceso al mínimo requerido para proporcionar los Servicios básicos.
2. La transferencia de datos entre el Cliente y la Línea de Base se asegurará de extremo a extremo como un enlace privado. Cuando se implementa a través de una red privada virtual, el nivel de encriptación debe ser suficiente para garantizar la integridad de la conexión y se establece en el nivel de encriptación comercial actual más sólido. Cuando sea posible, la VPN se establecerá en el nivel de la aplicación (por ejemplo, SSL VPN) en lugar del nivel de la red (por ejemplo, IPSEC) para restringir el acceso y la conectividad solo a lo que se requiere. Cuando se requiera una red VPN, se utilizará la encapsulación de la aplicación (por ejemplo, a través de servicios de terminal) y se aplicarán controles estrictos sobre la compartimentación (como anteriormente).
3. La transferencia de datos mediante un enlace de comunicación dedicado se cifra para evitar la fuga de datos.

• Arquitectura de aplicaciones

Para el desarrollo de la aplicación, los diferentes componentes de la aplicación (presentación, procesamiento de datos, base de datos, identificación y proceso de autenticación, etc.) son distintos y, si es posible, se alojan en diferentes servidores físicos o virtuales, de modo que los diferentes componentes están situados en diferentes zonas de La arquitectura de la red.

• Separación de Entornos de Desarrollo

La línea de base respetará la separación clara de los entornos de producción, desarrollo e integración.

• Mecanismo de filtrado

1. La línea de base aplicará los mecanismos de filtrado necesarios para evitar el acceso sin restricciones desde Internet a las interfaces de administración de los sitios web.
2. Baseline asume que el Cliente está a la defensiva de su red comercial y establece una serie de condiciones en los sistemas que pueden conectarse a ella. La línea de base debe introducir controles para limitar la incidencia de:

1. Acceso no autorizado a los sistemas del Cliente.
2. Interferencia con componentes de red.
3. Degradación del rendimiento en toda la red.
4. Interferencia con el tráfico de la red.
5. Se requiere autenticación multifactor para todos los accesos de usuarios remotos.

1. La línea de base incluirá las siguientes condiciones para todos los sistemas que deseen conectarse a la red del Cliente:

1. La puerta de enlace entre la red del Cliente y los sistemas externos están adecuadamente asegurados.
2. Existen controles para evitar el acceso no autorizado de los sistemas conectados a la red de la organización.
3. Existen controles y controles adecuados para evitar que las redes o sistemas externos interfieran con el funcionamiento de la red del Cliente.

1. Baseline implementará el estándar de la industria en el control de acceso y la autorización mediante el uso de ID de usuario y contraseñas (longitud, caracteres, intentos, autenticación, duración y caducidad, almacenamiento, desactivación, etc.).
2. La autenticación sólida se utilizará para aplicaciones empresariales críticas y para actividades de acceso remoto.
3. El acceso de los usuarios a los puertos de configuración y diagnóstico estará restringido a personas y aplicaciones autorizadas.
4. Se establecen políticas y procedimientos y se implementan mecanismos para cifrar datos confidenciales en almacenamiento (por ejemplo, servidores de archivos, bases de datos y estaciones de trabajo de usuarios finales) y datos en transmisión (por ejemplo, interfaces del sistema, redes públicas y mensajes electrónicos).
5. Los datos relacionados con el comercio electrónico (e-commerce) que atraviesan redes públicas se clasificarán de forma adecuada y se protegerán de actividades fraudulentas, revelaciones o modificaciones no autorizadas de manera que se eviten las disputas contractuales y el compromiso de los datos.
6. Se establecerán políticas y procedimientos y se implementarán mecanismos para proteger los entornos de red inalámbrica, incluidos los siguientes:

1. Cortafuegos perimetrales implementados y configurados para restringir el tráfico no autorizado.
2. La configuración de seguridad se habilitó con un cifrado sólido para la autenticación y la transmisión, reemplazando la configuración predeterminada del proveedor (por ejemplo, claves de cifrado, contraseñas, cadenas de comunidad SNMP, etc.).
3. Acceso de usuarios lógicos y físicos a dispositivos de red inalámbrica restringidos a personal autorizado.
4. La capacidad de detectar la presencia de dispositivos de red inalámbrica no autorizados (no autorizados) para una desconexión oportuna de la red.

1. Se utilizará una fuente de tiempo externa precisa (acordada externamente) para sincronizar los relojes del sistema de todos los sistemas de procesamiento de información relevantes dentro de la organización o definir explícitamente el dominio de seguridad para facilitar el rastreo y la reconstitución de las líneas de tiempo de la actividad. Nota: las jurisdicciones legales específicas y las plataformas de relevo y almacenamiento orbital (GPS de EE. UU. Y la Red Galileo de Satélites de la UE) pueden exigir un reloj de referencia que difiera en la sincronización con la referencia de tiempo del domicilio de las organizaciones; dominio.
2. La identificación automatizada del equipo se utilizará como un método de autenticación de conexión. Las tecnologías de reconocimiento de ubicación se pueden usar para validar la integridad de la autenticación de la conexión en función de la ubicación del equipo conocido.

• Almacenamiento y controles de medios

Baseline debe garantizar que su personal comprende la sensibilidad asociada con todos los medios dentro del servicio y establece los procedimientos apropiados para su destrucción segura en caso de una falla, falla o caducidad.

• Infraestructura Operacional: Licencias

Baseline deberá demostrar una actitud responsable hacia los derechos de autor, ya que afecta la licencia y el uso del software, incluyendo:

1. Procedimientos para la gestión de software y licencias.
2. Monitoreo de cualquier uso de software no autorizado / sin licencia.
3. Investigación de dichos incidentes y sus requisitos obligatorios de informe al Cliente.

• Software malicioso

1. Baseline debe establecer procedimientos apropiados de verificación y eliminación para garantizar que el servicio no se vea afectado por virus durante el desarrollo, mantenimiento y operación.
2. Baseline garantiza la integridad de todo el software introducido y las nuevas versiones de software antes de su integración en los entornos de servicio.
3. Se establecerán políticas y procedimientos y se implementarán mecanismos para restringir la instalación de software no autorizado.

• Configuraciones seguras

1. Los requisitos de seguridad de línea de base se establecerán y aplicarán al diseño e implementación de aplicaciones, bases de datos, sistemas e infraestructura de red (procesados o adquiridos) y procesamiento de información que cumplan con las políticas, estándares y requisitos reglamentarios aplicables. El cumplimiento de los requisitos básicos de seguridad se reevalúa al menos una vez al año o cuando se realizan cambios significativos.
2. Cualquier variación deberá ser documentada y acordada por las Partes.
3. Se establecerán políticas y procedimientos y se implementará un mecanismo para la administración de parches y vulnerabilidades, asegurando que las vulnerabilidades de las aplicaciones, los sistemas y los dispositivos de red se evalúen y los parches de seguridad suministrados por el proveedor se apliquen de manera oportuna, adoptando un enfoque basado en el riesgo para priorizar parches críticos.
4. Se establecerán políticas y procedimientos y se implementarán medidas para limitar estrictamente el acceso a datos confidenciales desde dispositivos portátiles y móviles, como computadoras portátiles, teléfonos celulares y asistentes personales digitales (PDA), que generalmente son de mayor riesgo que los dispositivos no portátiles (por ejemplo computadoras de escritorio en las instalaciones de la organización).
5. Los acuerdos de nivel de servicio de red e infraestructura (internos o externos) son claramente controles de seguridad de documentos, niveles de capacidad y servicio, y requisitos comerciales o de los clientes.
6. El código móvil se autoriza antes de su instalación y uso, y la configuración garantiza que el código móvil autorizado funcione de acuerdo con una política de seguridad claramente definida. Todos los códigos móviles no autorizados no pueden ejecutarse.

• Registro Y Monitoreo

1. Los registros de auditoría que registren actividades de acceso de usuarios privilegiados, intentos de acceso autorizados y no autorizados, excepciones del sistema y eventos de seguridad de la información se mantendrán, cumpliendo con las políticas y regulaciones aplicables. Los registros de auditoría se revisarán al menos diariamente y se implementarán las herramientas de integridad de archivos (host) y detección de intrusos en la red (IDS) para ayudar a facilitar la detección oportuna, la investigación por el análisis de la causa raíz y la respuesta a incidentes. El acceso físico y lógico del usuario a los registros de auditoría debe estar restringido al personal autorizado.
2. El acceso y el uso de las herramientas de auditoría que interactúan con los sistemas de información de las organizaciones deben estar segmentados y restringidos de manera adecuada para evitar el compromiso y el uso indebido de los datos de registro.

• GESTIÓN DE LA INFORMACIÓN, SEGURIDAD Y CONFIDENCIALIDAD.

• Información

1. Los registros de auditoría que registren actividades de acceso de usuarios privilegiados, intentos de acceso autorizados y no autorizados, excepciones del sistema y eventos de seguridad de la información se mantendrán, cumpliendo con las políticas y regulaciones aplicables. Los registros de auditoría se revisarán al menos diariamente y se implementarán las herramientas de integridad de archivos (host) y detección de intrusos de red (IDS) para ayudar a facilitar la detección oportuna, la investigación por el análisis de la causa raíz y la respuesta a incidentes. El acceso físico y lógico del usuario a los registros de auditoría debe estar restringido al personal autorizado.
2. Se mantiene un inventario completo de activos críticos con la propiedad definida y documentada.
3. Se establecerán políticas y procedimientos para el uso aceptable de los activos de información.
4. Toda la información enviada por el Cliente a Baseline, o de otro modo en posesión de Baseline o accesible por parte de Baseline, es propiedad del Cliente. La información del cliente no es:

1. Utilizado por la Línea de base que no sea en relación con la provisión de los Servicios de línea de base.
2. Divulgado, vendido, asignado, arrendado o de otro modo proporcionado a terceros por Baseline.
3. Comercialmente explotado por o en nombre de Baseline.
4. Todos los activos de propiedad de la organización dentro de un marco de tiempo definido y documentado una vez que se termina el empleo, contrato o acuerdo, se devuelven.

1. A los datos, y a los objetos que contienen datos, se les asigna una clasificación basada en el tipo de datos, la jurisdicción de origen, la jurisdicción domiciliada, el contexto, las restricciones legales, las restricciones contractuales, el valor, la sensibilidad, la criticidad de la organización y la obligación de retención y prevención de la divulgación no autorizada por parte de terceros. o mal uso
2. Se establecerán políticas y procedimientos para el etiquetado, manejo y seguridad de los datos y objetos que contienen datos. Se implementarán mecanismos para la herencia de etiquetas para objetos que actúen como contenedores agregados de datos.
3. Se implementarán mecanismos de seguridad para evitar la fuga de datos.
4. Los datos de producción no se replican ni se utilizan en entornos que no son de producción.
5. La documentación del sistema de información (por ejemplo, guías de usuario y administrador, diagramas de arquitectura, etc.) se pone a disposición del personal autorizado para garantizar lo siguiente:

1. Configurando, instalando y operando el sistema de información.
2. Uso efectivo de las funciones de seguridad del sistema.

1. Baseline garantiza que la clasificación de los datos especificados por el propietario de la información del Cliente (en términos de confidencialidad, integridad y disponibilidad) se respete en todas las etapas del procesamiento de la Información, y también es coherente con los requisitos con el MSA.
2. Baseline garantiza que él (y cualquier persona empleada o comprometida por dicha parte en relación con este proyecto en el curso de dicho empleo o compromiso) solo utiliza información de propiedad exclusiva provista por el Cliente para los fines para los cuales fue proporcionada o entró en su posesión.

• Conformidad

1. La línea base debe cumplir con el Sistema de gestión de seguridad de la información (SGSI) según corresponda.
2. Los enlaces y puntos de contacto con las autoridades locales se mantendrán de acuerdo con los requisitos comerciales y de los clientes, y el cumplimiento de los requisitos legales, reglamentarios y contractuales. A los datos, objetos, aplicaciones, infraestructura y hardware se les puede asignar un dominio legislativo y jurisdicción para facilitar el cumplimiento adecuado de los puntos de contacto.
3. Los requisitos legales, reglamentarios y contractuales se definirán para todos los elementos del sistema de información. El enfoque de línea de base para cumplir con los requisitos conocidos y adaptarse a los nuevos mandatos se definirá, documentará y actualizará explícitamente para cada elemento del sistema de información. Los elementos del sistema de información pueden incluir datos, objetos, aplicaciones, infraestructura y hardware. A cada elemento se le puede asignar un dominio legislativo y jurisdicción para facilitar el mapeo de cumplimiento adecuado.
4. Baseline debe aprobar un documento formal de la política de seguridad de la información (la " Política de seguridad de la información ") que se comunica y publica a los empleados, contratistas y otras partes externas relevantes. La Política de seguridad de la información establecerá la dirección de la organización y se alineará con las mejores prácticas, reglamentaciones, leyes federales / provinciales e internacionales, según corresponda. La política de seguridad de la información debe estar respaldada por un plan estratégico y un programa de seguridad con roles y responsabilidades bien definidos para el liderazgo y los roles de los oficiales.
5. La línea de base revisará la Política de seguridad de la información a intervalos planificados o como resultado de cambios en la organización para garantizar su efectividad y precisión continuas, y las políticas y procedimientos se establecen y se ponen a disposición de todo el personal para respaldar adecuadamente la función de operaciones de servicios.
6. Se establecen políticas y procedimientos para la autorización de la administración para el desarrollo o adquisición de nuevas aplicaciones, sistemas, bases de datos, infraestructura, servicios, operaciones e instalaciones.

• Protección de la confidencialidad, integridad y disponibilidad

1. Baseline reconoce formalmente su responsabilidad de proteger la Información Confidencial según los términos y condiciones del Contrato de Servicios Maestro y los requisitos que reflejan las necesidades de la organización para la protección de datos y detalles operativos deben identificarse, documentarse y revisarse a intervalos planificados.
2. Baseline implementa medidas de protección para garantizar la confidencialidad de la Información Confidencial del Cliente y la información de terceros confiada al Cliente, almacenada y en tránsito aplicable dentro del servicio, que puede incluir:

1. Controles de acceso de archivo / registro adecuados.
2. Cifrado de archivos sensibles.
3. Cifrado de comunicaciones.
4. Gestión segura de claves.
5. Política de estructuras de directorios.
6. Privilegios mínimos.
7. Necesito conocer a las autoridades.

1. Baseline toma todas las precauciones necesarias para garantizar que la Información confidencial se divulgue solo a los empleados, empleados, agentes, consultores o subcontratistas que tengan necesidad de saber.
2. El acceso normal y privilegiado del usuario a aplicaciones, sistemas, bases de datos, configuraciones de red y datos y funciones confidenciales está restringido y aprobado por la administración antes del acceso otorgado.
3. Las políticas y procedimientos de acceso de los usuarios se documentan, aprueban e implementan para otorgar y revocar el acceso normal y privilegiado a las aplicaciones, bases de datos e infraestructura de red y servidor de acuerdo con los requisitos de acuerdo de negocio, seguridad, cumplimiento y nivel de servicio (SLA).
4. La implementación, la revocación o la modificación oportunas del acceso de los usuarios a los sistemas, los activos de información y los datos de la organización se implementan ante cualquier cambio en el estado de los empleados, contratistas, clientes, socios comerciales o terceros. Cualquier cambio en el estado pretende incluir la terminación de empleo, contrato o acuerdo, cambio de empleo o transferencia dentro de la organización.
5. Todos los niveles de acceso de usuarios son revisados por la administración en intervalos planificados y documentados. Para las violaciones de acceso identificadas, la reparación sigue las políticas y procedimientos de control de acceso documentados.
6. Los acuerdos de terceros que afectan directa o indirectamente a los datos o activos de información de la organización incluyen la cobertura explícita de todos los requisitos de seguridad relevantes. Esto incluye acuerdos que involucran el procesamiento, acceso, comunicación, alojamiento o administración de los activos de información de la organización, o la adición o terminación de servicios o productos a la información existente. Las disposiciones de los acuerdos de activos incluyen seguridad (por ejemplo, cifrado, controles de acceso y prevención de fugas) y controles de integridad para el intercambio de datos para evitar la divulgación, alteración o destrucción inadecuada.
7. Antes de otorgar a los clientes acceso a datos, activos y sistemas de información, todos los requisitos de seguridad, contractuales y regulatorios identificados para el acceso de los clientes deben abordarse y corregirse.

• Devolución o destrucción de la información

A solicitud del Cliente en cualquier momento, Baseline deberá:

1. Devuelva inmediatamente al Cliente, en el formato y en los medios en uso a la fecha de la solicitud, la totalidad o la parte solicitada, de los Datos comerciales del Cliente; y / o
2. Borra o destruye la totalidad o una parte de los Datos comerciales del cliente en posesión de Baseline y destruye todos los medios que contienen Datos comerciales del cliente que no funcionan correctamente. Si el Cliente le indica a Baseline que borre o destruya la totalidad o una parte de los Datos comerciales del Cliente, Baseline confirma inmediatamente al Cliente por escrito que se ha producido dicho borrado o destrucción. Las cintas de archivo que contienen datos comerciales del cliente se utilizan únicamente con fines de copia de seguridad y se devuelven o destruyen.

• Política y alcance

1. La línea de base debe tener una política de administración de riesgos de información que sea demostrable y que, como mínimo, cubra el siguiente ámbito de áreas:

1. Protección de la información
2. Proceso de sensibilización
3. Seguridad física
4. Administración de Computadoras y Redes
5. Controles de acceso
6. Desarrollo y mantenimiento del sistema.
7. IS planes de recuperacion
8. Conformidad

1. Baseline realiza periódicamente una evaluación de riesgos que cubre todas las operaciones dentro del alcance del contrato de Baseline con el Cliente, y también revisa periódicamente los requisitos de gestión de riesgos de información del Cliente para los Servicios de referencia.

• Funciones y responsabilidades

1. Como parte del Acuerdo de nivel de servicio de línea de base, los roles de administración de riesgos de información asignados a cada Parte y sus responsabilidades asociadas están claramente definidos.
2. Baseline debe designar un administrador de riesgos de información para el Cliente (el TAM - Administrador Técnico de Cuentas) y es responsable de la protección de la Información Confidencial del Cliente y de cualquier información de terceros confiada al Cliente.
3. Los roles y las responsabilidades de los contratistas, empleados y usuarios terceros se documentan en relación con los activos de información y la seguridad.
4. Se implementan políticas, procesos y procedimientos para hacer cumplir y asegurar una adecuada segregación de funciones. En aquellos eventos donde existe una restricción de conflicto de interés del rol del usuario, se implementan controles técnicos para mitigar cualquier riesgo que surja de una modificación no autorizada o involuntaria o del uso incorrecto de los activos de información de la organización.
5. Los usuarios son conscientes de sus responsabilidades para:

1. Mantener el conocimiento y el cumplimiento de las políticas de seguridad, procedimientos, estándares y requisitos reglamentarios aplicables publicados.
2. Mantener un ambiente de trabajo seguro y protegido.
3. Dejando el equipo desatendido de manera segura.

• Gestión de riesgos

1. Baseline comparte los hallazgos de la evaluación de riesgos y los planes de remediación propuestos con el Cliente y notifica al Cliente cualquier retraso en el cumplimiento de las fechas acordadas para implementar controles específicos de la gestión de riesgos de la información y se adhiere al proceso acordado para gestionar cualquier deslizamiento.
2. La línea de base deberá contar con procedimientos de gestión de riesgos en relación con la administración del personal:

1. Enlace con el gestor de riesgos de información del cliente.
2. Seguimiento del servicio por infracciones de gestión de riesgos de información.
3. Investigar e informar todas las infracciones de la gestión de riesgos de la información y los resultados de toda la investigación dentro de los límites del servicio prestado.

1. La línea de base deberá contar con procedimientos de gestión de riesgos en relación con la administración del personal:

1. Contratación, cambio de trabajo, despido, renuncia, despido, rescisión del contrato, traslado, indisponibilidad del personal, eliminación de los privilegios de acceso del usuario.
2. Todos los miembros del personal de Baseline y del subcontratista firmarán un acuerdo de confidencialidad con respecto a la información de propiedad exclusiva del Cliente y la información de terceros confiada al Cliente.

1. De conformidad con las leyes, regulaciones, ética y restricciones contractuales locales, todos los candidatos de empleo, contratistas y terceros están sujetos a una verificación de antecedentes proporcional a la clasificación de datos a la que se debe acceder, los requisitos comerciales y el riesgo aceptable.
2. Baseline garantiza que el régimen de gestión de riesgos de la información propuesto para proteger la información sea apropiado para los riesgos ambientales.
3. La gerencia ejecutiva y de línea tomarán medidas formales para respaldar la seguridad de la información a través de una dirección clara, un compromiso, una asignación explícita y la verificación de la ejecución de la asignación.
4. La línea de base debe tener un proceso para resolver disputas sobre problemas de administración de riesgos de información.
5. Baseline desarrollará y mantendrá un marco de gestión de riesgo empresarial para gestionar el riesgo a un nivel aceptable.
6. Alineadas con el marco empresarial, las evaluaciones formales de riesgos se realizarán al menos una vez al año, o en intervalos planificados, determinando la probabilidad y el impacto de todos los riesgos identificados, utilizando métodos cualitativos y cuantitativos. La probabilidad y el impacto asociados con el riesgo inherente y residual se determinarán de manera independiente, considerando todas las categorías de riesgo (por ejemplo, resultados de auditoría, análisis de amenazas y vulnerabilidades y cumplimiento normativo).
7. Los riesgos deben ser mitigados a un nivel aceptable. Los niveles de aceptación basados en criterios de riesgo se establecerán y documentarán de acuerdo con los plazos de resolución razonables y la aprobación del ejecutivo.
8. Los resultados de la evaluación de riesgos incluirán actualizaciones de las políticas de seguridad, procedimientos, estándares y controles para garantizar que sigan siendo relevantes y efectivos.
9. La identificación, evaluación y priorización de los riesgos que plantean los procesos de negocios que requieren acceso de terceros a los sistemas y datos de información de la organización son seguidas por una aplicación coordinada de recursos para minimizar, monitorear y medir la probabilidad y el impacto de un acceso no autorizado o inapropiado. Los controles de compensación derivados del análisis de riesgos se implementan antes del acceso de aprovisionamiento.

• Conciencia

1. Baseline se asegurará de que su personal comprenda las amenazas de gestión de riesgos de la información y las preocupaciones relacionadas con los Servicios de referencia y de las políticas de gestión de riesgos de información relevantes.
2. El personal de referencia asignado a los Servicios de referencia recibirá capacitación y actualizaciones periódicas sobre las políticas y procedimientos de gestión de riesgos de información relevante del esquema de clasificación de gestión de riesgos estándar y los procedimientos apropiados.
3. El personal del subcontratista asignado a los Servicios de Línea Base deberá conocer el esquema de clasificación de la gestión de riesgos de información de Línea Base y los procedimientos apropiados.
4. Se deben establecer políticas y procedimientos para borrar los documentos visibles que contienen datos confidenciales cuando un espacio de trabajo está desatendido y la ejecución del cierre de sesión de la estación de trabajo durante un período de inactividad.

• ADMINISTRACION DE INCIDENTES

• Procedimientos para la gestión de incidentes de seguridad de la información.

1. Deberán establecerse procedimientos que cubran la investigación y el informe de todos los incidentes de seguridad de la información, incluidos los siguientes, pero no limitados a:

1. La investigación
2. Escalada
3. Formato de informe
4. Acción disciplinaria
5. Accion legal
6. Acción tomada para prevenir la recurrencia del incidente.
7. Retroalimentación en el sistema de gestión de seguridad

1. La línea de base debe tener un proceso para garantizar que los incidentes de seguridad de la información se gestionen adecuadamente sin costo adicional para el Cliente y dentro de un plazo documentado en el Acuerdo de Nivel de Servicio y para cualquier investigación forense formal.
2. Baseline se compromete a comunicarse con total transparencia con el Cliente sobre la investigación y las acciones posteriores tomadas después de los incidentes de seguridad de la información que involucran al Cliente.
3. Deben existir mecanismos para monitorear y cuantificar los tipos, volúmenes y costos de los incidentes de seguridad de la información.
4. Baseline notificará al Cliente cualquier posesión, divulgación, uso, conocimiento o intento no autorizado de la información del Cliente de la que tenga conocimiento, incluida cualquier violación de seguridad en un sistema, LAN o red de telecomunicaciones que contenga, procese o transmita información confidencial.
5. La línea de base debe garantizar que los registros de servicio se inspeccionen de forma regular y efectiva para detectar incidentes de seguridad de la información. 
6. Baseline notificará al Cliente de cualquier cambio en su entorno que altere significativamente el nivel de seguridad de los Servicios de Base.
7. La línea de base debe realizar el riesgo de la información. La línea de base debe realizar el monitoreo e informe de la información del riesgo y, como mínimo:

1. Seguimiento y reporte del estado de seguridad.
2. Informacion de incidencias en gestión de riesgos.
3. Se adhiere a la estructura y formatos de informes preestablecidos.
4. Las frecuencias de notificación son al menos trimestrales.

1. Baseline informará inmediatamente al administrador de contratos del Cliente o al contacto designado, de cualquier compromiso conocido o sospechado de los activos de información del Cliente o violaciones del contrato.

• Seguimiento y Notificación

1. La investigación de los incidentes de seguridad de la información descubiertos en las pistas de auditoría se gestionará dentro de los procedimientos generales establecidos para la gestión y el informe de los incidentes de seguridad de la información.
2. En el caso de que una acción de seguimiento con respecto a una persona u organización después de un incidente de seguridad de la información requiera una acción legal, se establecerán procedimientos forenses adecuados, incluida la cadena de custodia, para la recopilación, retención y presentación de evidencia para respaldar una acción legal potencial sujeta a jurisdicción pertinente.

• Respuesta de emergencia

1. Baseline cuenta con un equipo de respuesta a emergencias, según el SLA.
2. En el caso de un incumplimiento importante de la gestión de riesgos, Baseline asignará el recurso apropiado al equipo de respuesta de emergencia establecido por el Cliente.

• CONTINUIDAD DEL NEGOCIO

• Plan y procedimientos

1. La línea de base debe tener un método definido y documentado para determinar el impacto de cualquier interrupción en la organización que incorpore lo siguiente:

1. Identificar productos y servicios críticos.
2. Identifique todas las dependencias, incluidos procesos, aplicaciones, socios comerciales y línea de base de servicios de terceros.
3. Comprender las amenazas a productos y servicios críticos.
4. Determine los impactos resultantes de las interrupciones planificadas o no planificadas y cómo éstas varían con el tiempo.
5. Establecer el período máximo tolerable para la interrupción.
6. Establecer prioridades para la recuperación.
7. Establezca objetivos de tiempo de recuperación para la reanudación de productos y servicios críticos dentro de su período máximo de interrupción tolerable.
8. Estimar los recursos necesarios para la reanudación.
9. Conciencia del personal de la contingencia.
10. Planes de seguridad.

1. La línea de base debe tener un conjunto definido de procedimientos para la acción en una situación de contingencia. La línea de base garantizará que:

1. Las condiciones para la implementación están claramente establecidas y comprendidas.
2. Las responsabilidades de la línea de base están completamente definidas.
3. Todas las responsabilidades de terceros están completamente definidas.

1. Debe haber un plan detallado de recuperación y recuperación dentro del plan de migración para evitar la pérdida o corrupción de la información del Cliente.
2. Se establecerán políticas y procedimientos para el mantenimiento del equipo que garanticen la continuidad y disponibilidad de las operaciones.
3. Para reducir los riesgos de amenazas ambientales, los peligros y las oportunidades de los equipos de acceso no autorizados deben ubicarse lejos de los lugares sujetos a riesgos ambientales de alta probabilidad y complementarse con equipos redundantes ubicados a una distancia razonable.
4. Se deben implementar mecanismos de seguridad y redundancias para proteger el equipo de cortes de servicio de los servicios públicos (por ejemplo, fallas de energía, interrupciones de la red, etc.).
5. El equipo de telecomunicaciones, el cableado y los relés que transmiten datos o servicios de apoyo deben estar protegidos contra la intercepción o daños y deben diseñarse con redundancias, fuentes de alimentación alternativas y rutas alternativas.
6. La línea de base proporcionará tecnología confiable respaldada por instalaciones alternativas o duplicadas, así como por la estrategia de copia de seguridad de datos primaria (en el sitio) y secundaria (fuera del sitio) para cumplir con los requisitos del servicio en el Acuerdo de la línea de base en Fuerza y Efecto, y la capacidad suficiente para hacer frente a cargas de trabajo
7. Se establecerán políticas y procedimientos para la retención y el almacenamiento de datos y se implementarán mecanismos de respaldo o redundancia para garantizar el cumplimiento de los requisitos reglamentarios, estatutarios, contractuales o comerciales. La prueba de recuperación de las copias de seguridad en disco o cinta se implementará en los intervalos planificados.

• Servicio de resiliencia

1. La línea de base debe tener un plan de prueba anual que describa el número y los tipos de pruebas que se realizarán y los objetivos de la prueba.
2. Los esfuerzos de base para que un plan de continuidad comercial aprobado sea probado periódicamente por un tercero para verificar su idoneidad y eficacia.

• Procedimientos de cambio y evolución.

1. La línea de base debe tener un proceso para administrar los cambios en los servicios de línea de base (para cubrir todos los componentes de los entornos operativos del servicio) que:

1. Se aplicará un proceso formal y controlado para todos los cambios.
2. Se aplicará un proceso de integración para todos los componentes nuevos antes de que se implementen.
3. Se debe definir y validar un plan de reversión para cada cambio.
4. Los cambios funcionales serán validados por los propietarios de la información.
5. Cualquier cambio en las aplicaciones o el sistema operativo que tenga un impacto en la infraestructura deberá ser validado por el gerente de seguridad de la información correspondiente.
6. Las aplicaciones se mantendrán considerando el soporte continuo de la infraestructura y la evolución de las plataformas por parte de los proveedores.

1. Baseline notificará al administrador de riesgos de información del Cliente sobre cualquier cambio que pueda tener un efecto en el entorno de administración de riesgos de información de los Servicios de referencia.

• Pruebas

1. La línea de base debe tener procedimientos establecidos para garantizar la certificación y aceptación adecuadas de los productos después de las pruebas, que incluyen, como mínimo:

1. Autoridad de diseño de aceptación
2. Certificacion de prueba
3. Procedimientos de entrega al cliente.

1. Baseline se esfuerza por demostrar que su régimen de prueba puede gestionar adecuadamente los datos de prueba
2. Baseline debe tomar todas las precauciones para que los datos confidenciales nunca se utilicen con fines de prueba. Si el uso de Datos confidenciales es esencial para la implementación exitosa de los Servicios de Línea de Base, la Línea de Base deberá implementar procedimientos para administrarlo de manera apropiada.
3. Todo el software provisto para su uso con los Servicios de línea base debe probarse adecuadamente e incluir, como mínimo:

1. Pruebas funcionales.
2. Pruebas de integración.
3. Pruebas de seguridad.
4. Pruebas de rendimiento.
5. Prueba de aceptacion.
6. Autoridad de prueba independiente
7. Pruebas independientes.
8. Pruebas de regresión de la compatibilidad de la versión del software del sistema.
9. Pruebas del entorno del sistema, incluidos el software operativo y de aplicaciones, la infraestructura de red y el proceso operativo involucrados en la entrega del servicio.

• Cambios de emergencia

La línea de base debe tener un proceso para manejar los cambios de emergencia, que incluye la integración de los cambios en los procedimientos estándar.

• SEGURIDAD PCI-DSS

La línea de base deberá haber evaluado formalmente y documentado su cumplimiento de los requisitos de las PCI DSS.

• SOFTWARE Y DESARROLLO DE APLICACIONES

• Procedimientos

1. La línea de base debe tener un método definido y documentado para determinar el impacto de cualquier interrupción en la organización que incorpore lo siguiente:
2. Las políticas de seguridad deberán establecer explícitamente los requisitos de seguridad y el proceso que se adoptará durante el desarrollo del software / aplicación, y están diseñados de acuerdo con los estándares de seguridad aceptados por la industria y cumplen con los requisitos regulatorios y comerciales aplicables.
3. Se establece, implementa y monitorea un proceso de seguridad.
4. Baseline asegurará que sus desarrolladores reciban sesiones regulares de concientización.
5. La línea de base debe tener procesos de seguridad para identificar y abordar aquellas aplicaciones que utilizan datos personales del usuario.

• Fase de Requisitos

La línea de base debe tener un proceso para determinar los requisitos de seguridad del propietario de la empresa / aplicación a partir de los requisitos y las etapas de viabilidad en sí, y, como mínimo, aborda:

1. Conocimiento de los contactos y asesores de seguridad y privacidad.
2. Documento definido sobre las barras de errores de seguridad y privacidad junto con el uso obligatorio del sistema de seguimiento de errores.
3. Identificación del personal que tiene acceso a Datos Sensibles.
4. Administración de los usuarios a través de revisiones de acceso y verificación de identidad.
5. Funciones de registro de aplicaciones habilitadas.
6. Identificación y comunicación en autenticación multifactor y encriptación como parte de la solución, si corresponde.

• Fase de Diseño, Desarrollo e Implementación.

1. La línea de base debe contar con técnicas de diseño documentadas que se siguen a través de la identificación basada en el código administrado / no administrado, los privilegios mínimos, la minimización de la superficie de ataque y el límite a través de la configuración predeterminada, etc. código expuesto.
2. La línea de base garantizará que los criterios de seguridad complementarios identificados a través de problemas de productos únicos, como los scripts entre sitios, los ataques de inyección de SQL, etc., y los programas de utilidad capaces de anular potencialmente los controles de sistema, objeto, red, máquina virtual y aplicación estén restringidos.
3. Baseline adoptará e implementará un proceso de modelado de amenazas como una revisión sistemática de la arquitectura de características y productos para identificar amenazas y mitigación.
4. La seguridad se considera y se toma como parte de la validación de entrada y el manejo de excepciones.
5. La línea de base debe garantizar que haya un diseño de equilibrio de carga y monitoreo de carga para proteger contra la destrucción o denegación de servicio y garantizar la disponibilidad
6. Debe haber un proceso definido, la documentación y las herramientas necesarias para garantizar una implementación y operación seguras.

• Verificación, Pruebas y Liberación.

1. Como mínimo, Baseline deberá considerar y garantizar lo siguiente:

1. Evaluaciones de vulnerabilidad realizadas para garantizar la seguridad de la aplicación.
2. Se cubren las pruebas de penetración para garantizar los impactos de seguridad desde la perspectiva de un pirata informático.
3. Todos los planes de respuesta se implementan y se ejecutan junto con la reevaluación de la superficie de ataque.
4. Realización de una revisión de código tanto automática como manual para garantizar que el código esté libre de errores.
5. Revisión del diseño y arquitectura a la luz de nuevas amenazas.
6. Rutinas de integridad de entrada y salida de datos (es decir, reconciliación y revisiones de edición).

1. La línea de base garantizará que haya una conducta en la revisión de seguridad final (que no forme parte de las pruebas con lápiz) como parte del proceso de publicación para garantizar que no haya vulnerabilidades de seguridad conocidas.