lunes, 14 de enero de 2008

Contratos para el control de externos, según ISO 27002.

Uno de los aspectos que más cuesta en las organizaciones es el control de las terceras partes. Podemos tener claro qué seguridad queremos exigirnos pero siempre aparecen externos que suministran servicios y que son tan importantes como nuestro propio personal. En estos casos, la única acción posible es regular contractualmente estas relaciones y establecer los mínimos requisitos de seguridad. Así aparece reflejado en la legislación de protección de datos a traves de la figura del "encargado de tratamiento" y en la norma ISO 27002, en sus objetivos de control 6.2 y 10.2.

A continuación, voy a enlazar con los modelos de contrato que, hasta la fecha, el Área Jurídica del INTECO está colgando gratuitamente a modo de ejemplo, para regular los diferentes aspectos que indico a continuación:

  • Contrato de prueba y compra de equipos informáticos
    El presente contrato regula la entrega de los dispositivos informáticos que se indiquen -en el anexo correspondiente- al cliente a título de “Prueba y Compra”.

  • Contrato Específico de Actualización de Aplicación Informática
    Contrato destinado a regular la relación entre el prestador, empresa dedicada al desarrollo, programación, actualización y personalización de aplicaciones informáticas, y el cliente, que desea contratar los servicios concretos de actualización de una aplicación informática (propia o de tercero).

  • Contrato de Instalación y Mantenimiento de Equipos y Servicios
    Contrato destinado a regular la relación entre cliente y prestador, en el que éste facilitará sus servicios como profesional en materia de instalación de software, equipos y redes informáticas, así como el mantenimiento y asistencia técnica respecto a la misma, conforme a las especificaciones que se establezcan en el propio contrato, a cambio de un precio.

  • Contrato de Creación de Contenidos Web
    Contrato destinado a regular la redacción e implementación de contenidos en el sitio web titularidad del cliente.

  • Contrato de Diseño Web
    Contrato destinado a regular la prestación de servicio de diseño y programación Web solicitada por un cliente.

  • Contrato de Publicidad en Páginas Web
    Contrato destinado a regular la publicidad de productos o servicios en sitios Web.

  • Contrato de Alojamiento de Sitios Web (Hosting)
    Contrato destinado a regular la relación jurídica entre el proveedor de servicios de Internet (ISP) y el propietario de un sitio Web que desee alojarlo en un servidor para que sea accesible desde Internet.

  • Contrato de Arrendamiento de Servidor Dedicado (Housing)
    Contrato destinado a regular la relación jurídica entre el proveedor de servicios de Internet (ISP) y el propietario del sitio Web. Este tipo de contrato regula el alojamiento del sitio Web del cliente en un servidor propio del ISP y no compartido con ningún otro cliente.

  • Contrato de Depósito Notarial de Código Fuente
    Contrato destinado a regular el depósito notarial del código fuente de una aplicación informática. Este contrato garantiza al cliente el acceso al código fuente de la aplicación informática en cuestión.

4 comentarios:

josemm dijo...

Al querer ingresar a cada contrato, sale la leyenda "La Página solicitada no se ha encontrado".

Javier Cao Avellaneda dijo...

Gracias.
He corregido los enlaces eliminando las url incorrectas. El repositorio de contratos puede hallarse dentro del Observatorio de la Seguridad, en el Área Jurídica que ahora tiene como url http://www.inteco.es/Seguridad/Observatorio/area_juridica

Gina Paola dijo...

Hola Javier, mi pregunta es la siguiente, dentro de la norma especifica que una empresa certificada con ISO 27001 no debería dejar que sus contratistas externos ingresen sus equipos de computo para conectarse con la red interna y trabajar en sus sistemas de información?

Javier Cao Avellaneda dijo...

La norma no prohíbe taxativamente nada. Simplemente indica que se realice una evaluación del riesgo que eso supone y que contractualmente se tengan contempladas las garantías que sean necesarias.

 
;