Anexo de Controles Mínimos de Seguridad
Los siguientes requisitos mínimos de seguridad están destinados a servir de guía para el nivel de protección que Nike espera de cualquier sistema de tecnología informática del Contratista que Trate Datos de Nike. Estos requisitos de seguridad se basan en prácticas de seguridad de la información generalmente aceptadas y prácticas de gobierno de protección de la información:
Estos requisitos de seguridad se aplican a (1) todos los sistemas y redes del Contratista, incluidos los sistemas y redes del Subencargado del Tratamiento, que se integren con los sistemas y redes de Nike o se utilicen para Tratar Datos de Nike; y (2) los Datos de Nike en cualquier forma. El Contratista declara y garantiza que ha completado el proceso de evaluación de riesgos del proveedor de Nike y mantendrá todas las salvaguardas y controles identificados por el Contratista en la evaluación y tomará todas las medidas adicionales requeridas en este Anexo de Controles Mínimos de Seguridad.
1. Política y procedimientos
1.1. El Contratista mantiene un proceso de ciclo de vida establecido para la creación, mantenimiento, revisión, aprobación y comunicación de las políticas a las partes pertinentes. Estas incluirán las normas de desarrollo de aplicaciones e infraestructuras, la política de seguridad, el almacenamiento de datos, la gestión de incidencias, y la gestión de operaciones informáticas.
1.2. El Contratista implementará y mantendrá políticas y procedimientos para la definición y el mantenimiento de las configuraciones de seguridad de referencia que sean documentados, aprobados, revisados con periodicidad anual, y comunicados a el Personal del Contratista.
1.3. El Contratista implementará y mantendrá un sistema de gestión de seguridad de la información empresarial (“ISMS”, por sus siglas en inglés) y una política de seguridad que defina: (a) los roles y responsabilidades segregados de seguridad de la información (“IS”, por sus siglas en inglés), (b) la función y la importancia de la IS, (c) los objetivos de la política, (d) las responsabilidades de seguridad de los trabajadores y terceros, y (e) los requisitos reglamentarios incluyendo la privacidad y seguridad de datos.
El Contratista se asegurará de que dicha política haya sido aprobada por el nivel pertinente de la alta dirección y haya sido comunicada al Personal del Contratista.
1.4. El Contratista implementará y mantendrá procedimientos para la generación, distribución y almacenamiento de claves de cifrado que incluyan: la generación de claves fuertes, la distribución usando métodos seguros, el almacenamiento seguro de claves, claves rotatorias periódicamente (criptoperiodos), la gestión del fin de vida, y la retirada y reposición de claves si se sospecha de un ataque.
2. Gestión de activos. El Contratista implementará y mantendrá políticas y procedimientos en materia de identificación, clasificación y gestión de activos (desde la adquisición hasta la eliminación) que sean documentados, implementados, y comunicados al Personal del Contratista.
3. Continuidad empresarial y recuperación de desastres
3.1. El Contratista implementará y mantendrá políticas y procedimientos para la continuidad empresarial y recuperación de desastres que sean documentados, aprobados, revisados con periodicidad anual, y comunicados al Personal del Contratista.
3.2. El Contratista se asegurará de que los sistemas críticos sean identificados y documentados, y que haya en marcha procedimientos para mantener las operaciones en caso de un acontecimiento adverso.
3.3. El Contratista implementará y mantendrá: (a) copias de seguridad que están automatizadas y sigan un calendario predeterminado y aprobado; (b) alertas que se generen en caso de errores de las tareas de copia de seguridad y sean desactivadas de manera oportuna; y (c) los procesos de copia de seguridad que sean ensayados periódicamente para obtener la confirmación de la capacidad de recuperarse en caso de fallo del sistema o corrupción de datos.
4. Gestión de cambios
4.1. El Contratista implementará y mantendrá una política integral de gestión de cambios que sean documentada, aprobada, revisada con periodicidad anual, y comunicada al Personal del Contratista. Por cada capa del sistema (aplicación, base de datos, sistema operativo, tecnologías de virtualización, y microservicios), la política definirá los tipos de cambio, los requisitos de aprobación, y los requisitos de prueba.
4.2. El Contratista aplicará cambios del sistema/aplicación que sigan un proceso de control de cambios establecido para su revisión, aprobación y pruebas antes de que se realicen los cambios al sistema de producción.
4.3. El Contratista aplicará cambios de emergencia que sean solicitados, aprobados e implementados y se mantendrá evidencia en consonancia con la política de gestión de cambios.
5. Seguridad de los recursos humanos
5.1. El Contratista deberá realizar una investigación adecuada de antecedentes, incluyendo una verificación de antecedentes penales sobre el Personal del Contratista (en la medida permitida por la legislación vigente) antes de permitir que el Personal del Contratista Trate Datos de Nike o acceda a las redes informáticas, los sistemas informáticos, las bases de datos, las aplicaciones seguras de Nike, o las áreas no públicas de una instalación de Nike. El Contratista se asegurará de que ningún Personal del Contratista que haya sido condenado por un delito grave o varios delitos menores repetidos que impliquen violencia o acoso, preste servicios en áreas no públicas de una instalación de Nike.
5.2. El Contratista se asegurará de que todo el Personal del Contratista complete con éxito una formación adecuada y apropiada en materia de privacidad y seguridad de la información antes de Tratar los Datos de Nike y los Subencargados del Tratamiento están obligados a proporcionar regularmente a su personal una formación adecuada y apropiada en materia de privacidad y seguridad de la información.
5.3. Todo el Personal del Contratista será requerido para mantener los Datos de Nike de manera confidencial y se adherirán a las políticas y procedimientos de seguridad de la información del Contratista.
El Contratista proporcionará (a) supervisión gerencial que exija la adhesión a las políticas y procedimientos de seguridad de la información del Contratista, y (b) un proceso disciplinario (incluyendo la resolución) para las infracciones de las políticas y procedimientos de seguridad de la información del Contratista.
6. Seguridad de información
6.1. El Contratista se asegurará de la seguridad de sus redes, aplicaciones (incluyendo bases de datos), infraestructuras y plataformas.
6.2. El Contratista se asegurará de que, a nivel de aplicaciones, las actividades conflictivas sean segregadas y revisadas periódicamente, incluyendo:
6.2.1. El Contratista se encargará del desarrollo en un entorno de desarrollo separado del entorno de producción,
6.2.2. La administración de aplicaciones estará separada de la administración de derechos de acceso,
6.2.3. La administración de bases de datos (y cualquier otra forma de privilegio de actualización directa de datos) estará separada de la administración de aplicaciones, de la administración de seguridad y del Personal del Contratista que preste servicios de desarrollo, y
6.2.4. El Personal del Contratista que apruebe los derechos de acceso estará separado de la persona que conceda los derechos de acceso en el sistema del Contratista.
6.3. El Contratista llevará a cabo evaluaciones integrales de riesgos con periodicidad anual para los sistemas y redes críticas, incluyendo la aplicación, la base de datos, el sistema de gestión de bases de datos, el sistema operativo, los sistemas de apoyo y las redes relacionadas. El Contratista ajustará los procesos o configuraciones de conformidad con los resultados y el Contratista revisitará los resultados periódicamente.
6.4. El Contratista implementará y mantendrá políticas y procedimientos para asegurar que los datos sean asegurados según corresponda a su nivel de sensibilidad.
6.5. El Contratista almacenará los archivos de sistema y el código fuente en un lugar seguro con acceso limitado.
6.6. El Contratista se asegurará de las peticiones de acceso a la tecnología informática a nivel de aplicaciones, bases de datos y sistema operativo, sean revisadas y aprobadas por la dirección del Contratista correspondiente.
6.7. El Contratista se asegurará de que cuando la situación (despedido, transferido) de un concreto Personal del Contratista o Subencargado del tratamiento haya cambiado, el sistema alerte a la dirección del Contratista de modo que se puedan tomar las medidas oportunas.
6.8. El Contratista se asegurará de que, cuando las responsabilidades del puesto de cualquier Personal del Contratista o Subencargado del Tratamiento ya no requieran de acceso al sistema (niveles de aplicaciones, bases de datos y sistema operativo) su acceso sea retirado puntualmente.
6.9. El Contratista realizará revisiones de titularidad utilizando una población completa y precisa de las cuentas periódicamente tanto para las cuentas de usuario como para las cuentas del sistema.
6.10. El Contratista implementará y mantendrá controles de seguridad perimetral, y cuando proceda, controles de seguridad federados, que cumplan las normas de la industria para la configuración segura en consonancia con la arquitectura del sistema proporcionado y/o utilizado (incluyendo el almacenamiento o la infraestructura en la nube) por el Contratista.
6.11. El Contratista implementará y mantendrá buenas prácticas para la seguridad de los recursos en la nube, el Software como Servicio y las aplicaciones web, en consonancia con las normas de la industria y las recomendaciones del proveedor de nube. Sin perjuicio del carácter general de las obligaciones de seguridad del Contratista, si Nike proporciona requisitos de gestión de configuración mínima para estos recursos, el Contratista deberá atenerse a ese requisito.
6.12. El Contratista realizará o externalizará evaluaciones periódicas de los controles perimetrales (por ejemplo, ingeniería social, hacking ético) en consonancia con la arquitectura del sistema proporcionado y/o utilizado por el Contratista incluyendo pruebas de penetración con periodicidad anual y análisis trimestrales de vulnerabilidad.
6.13. El Contratista realizará evaluaciones periódicas y hará seguimiento de las configuraciones del sistema incluyendo los sistemas operativos, las bases de datos, los dispositivos de red y los sistemas de control perimetral (por ej. cortafuegos).
6.14. El Contratista mantendrá software antivirus y/o anti-malware que esté instalado y actualizado.
6.15. La administración de seguridad de la tecnología informática del Contratista monitorizará y registrará la actividad de seguridad a los niveles de sistema operativo, aplicaciones y bases de datos. Las vulneraciones de seguridad identificadas se comunicarán a la alta dirección del Contratista.
6.16. El Contratista (o su(s) Subencargado(s) del Tratamiento) implementará y mantendrá controles de seguridad física y ambiental en los edificios y centros de datos que Traten Datos de Nike, incluyendo los sistemas electrónicos adecuados para el control de accesos, la monitorización de seguridad, y la detección de calor/humo.
6.17. El Contratista garantizará la seguridad física de las instalaciones donde guarde ficheros en papel, servidores, material informático y copias de seguridad.
6.18. El Contratista protegerá contra la pérdida o robo de ordenadores personales, portátiles, equipos de sobremesa o cualquier dispositivo de almacenamiento, incluyendo dispositivos móviles.
6.19. El Contratista salvaguardará y Tratará Datos de Nike de conformidad con las Reglas Aplicables.
6.20. El Contratista, cuando sea técnicamente factible y venga determinado por las exigencias empresariales, implementará y mantendrá un control de accesos basado en roles que asigne privilegios al Personal del Contratista en función de la clasificación del puesto y la función, y restrinja el acceso en función de la necesidad de conocimiento de tal Personal del Contratista.
6.21. Las cuentas de usuario, privilegiadas, y de servicio gestionadas por el Contratista se asegurarán de que sólo se dé acceso al Personal del Contratista a los Datos de Nike y a los componentes del sistema del Contratista que Traten Datos de Nike y estén protegidos por las buenas prácticas en materia de protección de contraseñas, incluyendo: (i) longitudes mínimas de las contraseñas, (ii) bloqueo tras varios intentos de acceso no válidos y tras una sesión inactiva, (iii) duraciones mínimas del bloqueo, (iv) reutilización de contraseñas, y (v) complejidad de las contraseñas.
6.22. El Contratista no utilizará identificadores compartidos, genéricos o generados por el sistema para proporcionar un acceso privilegiado o administrar cualesquiera componentes del sistema.
6.23. El Contratista no compartirá las contraseñas con nadie ajeno al titular designado del identificador de sistema o cuenta.
6.24. El Contratista requerirá a su servicio de Soporte Informático que utilice las medidas adecuadas para brindar protección frente a la ingeniería social para obtener acceso a la cuenta de cualquier Personal del Contratista incluyendo la verificación de identidad para el restablecimiento de contraseñas o la solución de problemas de acceso.
6.25. El Contratista protegerá las conexiones remotas documentando los métodos permitidos de acceso remoto a los Datos de Nike, estableciendo restricciones de uso, monitorizando el acceso remoto no autorizado, utilizando la criptografía para proteger la confidencialidad e integridad de las sesiones de acceso remoto, y desconectando automáticamente las sesiones de acceso remoto después de un período de inactividad.
6.26. El Contratista, cuando utilice el cifrado, utilizará protocolos fuertes de criptografía y seguridad basados en las normas del National Institute of Standards and Technology (“NIST”) para el cifrado. El acceso a claves criptográficas se restringirá al número mínimo de custodios necesarios y se almacenará con seguridad en el menor número posible de centros y formas. Las claves criptográficas serán cifradas utilizando una clave de cifrado por clave que se almacene por separado de la clave de cifrado de datos y las claves rotarán de conformidad con las buenas prácticas del NIST para criptoperiodos.
6.27. El Contratista garantizará que todos los Datos de Nike sean protegidos por un cifrado que cumpla los estándares del sector o superiores mientras estén inactivos o en tránsito. A no ser que sea necesario para la prestación de los Servicios, el Contratista no desbloqueará, no realizará ingeniería inversa, ni de cualquier otro modo expondrá el hash, ni Los Datos de Nike encriptados o anonimizados.
6.28. El Contratista implementará y mantendrá buenas prácticas para el registro de seguridad en los sistemas, dispositivos y procesos pertinentes, incluida la monitorización de actividad sospechosa y no autorizada, la separación y protección de registros, y la correlación en función del tiempo. El Contratista implementará y mantendrá un proceso para la revisión e instalación oportuna de parches y actualizaciones del software de seguridad para los sistemas, dispositivos y aplicaciones.
6.29. El Contratista implementará y mantendrá un proceso para la subsanación oportuna de las vulnerabilidades identificadas en el tráfico empresarial y actividades de gestión de vulnerabilidades.
6.30. El Contratista salvaguardará los Datos de Nike durante la transmisión a través de redes abiertas, incluso utilizando protocolos fuertes de criptografía y seguridad para salvaguardar los Datos de Nike durante la transmisión a través de redes públicas abiertas, y buenas prácticas de la industria para implementar el cifrado fuerte para la autenticación y la transmisión a través de redes inalámbricas de Datos de Nike o conectadas a redes sensibles.
6.31. El Contratista implementará y mantendrá políticas y salvaguardas relativas a la seguridad de los dispositivos en los que se almacenen o Traten Datos de Nike, incluyendo los ordenadores portátiles, los teléfonos móviles y los dispositivos de almacenamiento. El Contratista no almacenará Datos de Nike en ningún portátil, tableta, memoria USB, teléfono móvil, o cualquier otro dispositivo móvil a no ser que el Contratista haya obtenido el consentimiento por escrito de Nike y los dispositivos estén protegidos por las normas del sector en materia de cifrado.
6.32. El Contratista implementará y mantendrá mecanismos de autentificación y control de accesos dentro de los medios, aplicaciones, sistemas operativos y equipos incluyendo el registro de todos los accesos y salidas, y conservación de tales registros de control de acceso durante un periodo no inferior a doce meses.
6.33. El Contratista implementará y mantendrá sistemas de detección y prevención de intrusiones usando mecanismos de prevención y detección de intrusiones basados en la red.
6.34. El Contratista garantizará la estricta separación física o lógica de los Datos de Nike de los Datos aquellos que no sean de Nike de manera que ambos tipos de información no se entremezclen en cualquiera de los sistemas.
7. Gestión de proyectos
7.1. El Contratista implementará y mantendrá un ciclo de vida de desarrollo de sistemas que incluya el desarrollo de software seguro, haya sido aprobado por la dirección, y haya sido comunicado al Personal del Contratista.
7.2. El Contratista deberá utilizar prácticas de desarrollo seguro en el diseño, desarrollo, mejora, mantenimiento y desmantelamiento de (a) sus propios productos y servicios, y (b) cualesquiera servicios y entregables para Nike. Tales prácticas de desarrollo seguro estarán en consonancia con las normas de la industria tales como la OWASP Top Ten, ISO 27002, y la guía de programación segura publicadas por organizaciones tales como la División CERT del Software Engineering Institute. Sin limitar la generalidad de lo anterior, tales prácticas de desarrollo seguro incluyen: (1) la segregación de funciones y responsabilidades en materia de seguridad; (2) la segregación de los entornos de desarrollo, prueba y producción; (3) pruebas de seguridad en entornos de prueba antes de la implementación en entornos de producción; (4) la prohibición de usar datos sensibles y Datos de Nike en entornos de prueba; (5) desarrollar una política de desarrollo segura; (6) desarrollar una metodología de desarrollo segura y unas directrices de seguridad específicas para cada idioma; (7) implementar procesos formales de control de cambios que incluyan pruebas de seguridad y verificación; (8) formación de desarrollo segura para desarrolladores; y (9) consideración al carácter sensible de los datos o sistemas.
7.3. El Contratista implementará y mantendrá el control de calidad adecuado, pruebas de aceptación de usuarios, y revisiones de código de aplicaciones seguras.
8. Respuesta a las incidencias
8.1. El Contratista implementará y mantendrá políticas y procedimientos establecidos de respuesta a incidencias que abarquen los procesos de detección, contención, recuperación, escalada, y notificación.
8.2. El Contratista pondrá a prueba periódicamente las actividades de respuesta a incidencias, incluso con Subencargados del Tratamiento pertinentes (es decir, los proveedores de la nube).
9. Gestión de contratistas
9.1. El Contratista llevará a cabo una diligencia razonable sobre las prácticas de seguridad de sus Subencargados del Tratamiento antes de comprometerse y mantener contratos con los Subencargados del Tratamiento que incluyan disposiciones que rijan la responsabilidad del Subencargado de proteger y asegurar los Datos de Nike de conformidad con este Acuerdo y las Reglas Aplicables.
9.2. En el caso de que el Contratista utilice un tercer proveedor de servicios en la nube para prestar los Servicios, tal tercer proveedor de servicios en la nube será considerado un Subencargado del Tratamiento. El Contratista reconoce y acepta que la utilización de terceros proveedores de servicios en la nube implica una responsabilidad compartida en materia de seguridad entre el Contratista y el tercer proveedor de servicios en la nube. El Contratista reunirá o superará todas las mejores prácticas de la industria recomendadas por el proveedor de servicios en la nube y aplicará los mencionados requisitos mínimos a los Datos de Nike almacenados en tal entorno en la nube.