Se establecen las condiciones para la prestación de servicios, responsabilidades y controles que ayuden a proteger
la información involucrada en las relaciones entre ENOTRIA con sus proveedores, frente a interceptaciones, copias,
modificación, divulgación y destrucción no autorizada, que puedan afectar a los principios de seguridad de la
información como son la integridad, disponibilidad y confidencialidad.

Para todas aquellas prestaciones de servicios provista por proveedores, se cumplen los siguientes lineamientos:

• Firmar acuerdos de confidencialidad y de seguridad de la información con los proveedores que puedan tener
  acceso a la información de Enotria o sus clientes*, donde se detallan las responsabilidades y lineamientos que
  protegen la confidencialidad, integridad y disponibilidad de los activos afectados por el alcance del servicio.
  Dichos documentos son firmados antes de iniciar el servicio contratado.

   

• Gestionar el ingreso a las instalaciones de Enotria de acuerdo con el procedimiento SI-P-06 Control de Ingreso y
• Salida de instalaciones de Enotria.

   

• Cumplir por parte del proveedor las normas de seguridad establecidas por la organización dentro de las
  instalaciones de Enotria.

   

• Prohibir el uso de equipos como computadoras personales, videograbadoras, cámaras, grabadoras, entre otros en
  las áreas seguras; a menos que exista autorización formal de uso por parte del responsable de Seguridad integral
  y/o Tecnologías de Información.
  

  Evaluar los riesgos de seguridad del servicio a ser proporcionado por el proveedor. En casi de aplicar, determinar

• nuevas medidas de control que requieren adoptarse por parte de Enotria y/o del proveedor.
  
  Gestionar la habilitación de accesos lógicos al proveedor por el área contratante mediante el sistema de
  solicitudes (SOL) y notificar la deshabilitación de los derechos de acceso generados para el proveedor de acuerdo
  con la política de control de acceso (SGSI-POL-04), cuando se modifiquen o finalicen los servicios; además de asegurar

• de que todo el equipamiento, software o información en formato electrónico o papel sea devuelto.

• Supervisar por parte del área usuaria, el trabajo a desarrollar por el proveedor y el nivel del servicio contratado. En

• caso de encontrar incidencias en la prestación de los servicios, se revisarán los contratos o acuerdos firmados y se
  comunicará al proveedor. De no resolver el problema, se tomarán las medidas legales pertinentes establecidas en
  el contrato o acuerdos firmados.

  
  Participar y brindar las facilidades para realizar auditorías de evaluación y cumplimiento de lineamientos de seguridad

• de la información hacia proveedores según aplique.

•  

• Reportar y registrar los incidentes de seguridad que se detecten en el cumplimiento de los servicios brindados por
  parte de los proveedores, al área usuaria para su atención.

   

• Detallar por parte del proveedor, las contingencias aplicables al servicio que está brindado, en caso de aplicar.
• 
  Reforzar y brindar capacitación en temas de seguridad de la información para generar conciencia en el personal
  que brindará el servicio.

* Se hace referencia principalmente a proveedores de servicios de TI, servicios de seguridad, servicios de salud, servicios financieros, servicios de distribución, servicios generales,
entre otros que puedan identificarse.