POLÍTICA SGSI PROVEEDORES

Política de seguridad de la información de proveedores

Proveedores

Grupo Lennken (que incluye Lennken Group S.C. y Grupo Caprinet S.C). establece contratos de servicio y acuerdos de confidencialidad con los terceros subcontratados que por sus funciones requieran de acceso a información o infraestructura de la organización o de los clientes.

Con la finalidad de homologar terminología y procesos con los terceros subcontratados, la organización deberá difundir a sus proveedores, las políticas de seguridad de la información aplicables de acuerdo con los servicios contratados y asegurarse de que el tercero subcontratado y su personal tienen conocimiento de las mismas.

Los proveedores serán responsables de definir, implementar, mantener y revisar a intervalos planificados los controles de seguridad que permitan a la organización mitigar los riesgos derivados de la interacción entre la organización y el tercero en cuestión.

Los proveedores deberán hacer uso de las políticas de clasificación de la información para identificar, etiquetar y tratar la información de forma correcta, haciendo referencia a la siguiente tabla.

Clasificación	Descripción
Restringido	Información que, si es divulgada a entidades no autorizadas; podría tener un impacto en obligaciones legales o reguladoras de la organización, en sus estados financieros o clientes.
Confidencial	Información acerca de clientes, empleados y/o negocios de la organización que la misma está obligada a proteger. Así mismo, la información que la dirección general de la organización o el comité del SGSI determinan si tiene potencial para proporcionar una ventaja competitiva u ocasionar un impacto significante en el negocio si es divulgada a entidades no autorizadas.
Interno	Información que puede ser compartida común y libremente dentro de la organización y que no es restringida o confidencial. Ej. Políticas de seguridad de la información.
Público	Información que puede ser conocida y/o divulgada al público en general, al interior y exterior de la organización y que se haya elaborado con ese fin. Ej. Folletos, anuncios de productos o servicios, solicitud de vacantes, entre otros

Tratamiento de la información

Con base en los criterios definidos por la organización podrá hacerse uso de los siguientes medios autorizados para el tratamiento de información de acuerdo con la clasificación de la información.

Medio autorizado	Pública	Interna	Confidencial	Restringida
Sitio web y redes sociales	Sí	No	No	No
Correo electrónico	Sí	Sí	No	No
Correo electrónico con información cifrada	No	No	Sí	Sí
Por medio de VPN y conexiones seguras como SFTP/HTTPs internos y a clientes.	Sí	No	Sí	Sí
Mensajería privada en sobre sellado seguro	Sí	No	Sí	Sí
Transmisión de palabra, incluyendo el teléfono móvil, correo de voz, contestador, equipos	Sí	No	No	No
CDs, DVDs y medios de almacenamiento extraíbles cifrados	Sí	No	Sí	Sí

Eliminación de la información

Una vez que la información ha cumplido con el ciclo de vida definido para la misma y que ya no será requerida por el negocio, deberá llevarse a cabo la eliminación de la información mediante el uso de las técnicas de eliminación definidas por la organización o bien la que haya sido acordada por contrato con el cliente y de acuerdo con la clasificación que le corresponda.

En la siguiente tabla se muestra las técnicas de eliminación requeridas por cada tipo de información con base en su clasificación.

TIPO DE INFORMACIÓN	BORRADO ESTÁNDAR	BORRADO SEGURO	DESTRUCCIÓN DE MEDIOS
Pública	Si	Opcional	No
Interna	Si	Opcional	No
Confidencial	No	Si	Opcional
Restringida	No	Si	Opcional

Cualquier transferencia de información clasificada como confidencial o restringida, en tránsito o reposo deberá permanecer cifrada y mantener controles de identificación o acceso por medio de contraseña.

CIFRADO DE INFORMACIÓN
EN TRÁNSITO	EN REPOSO
Compresión con contraseña VPN site to site VPN client to site TLS 1.2 o superior SSL3	Compresión con contraseña Cifrado de disco Cifrado de archivo Cifrado de BD Cifrado de respaldos