Cuestionario de evaluacin de seguridad de terceros

Versin 1.3 final Mayo 2007

DERECHOS DE AUTOR HSBC HOLDIN S !LC "##$% TODOS LOS DERECHOS RESER&ADOS% Ninguna parte de esta publicacin puede reproducirse, almacenarse en un sistema de recuperacin ni transmitirse de ninguna forma ni por ningn medio electrnico, mecnico, de fotocopiado, de grabacin o cualquier otro, sin la previa autorizacin por escrito de HSBC HO !"N#S $ C%

"& del #rupo (*+,-.)./%doc

'ersin (%) final 0a1o .,,/

Historial de revisiones
Fecha 2gosto de .,,0a1o de .,,/ Versin (%. (%) Estado 3inal 4evisin anual No se requieren cambios Observaciones

Control de documentos
Funcin 2utor Nombre Steve &ravis Correo electrnico steve%travis56sbc%com Telfono 7 88 9,: ((8 .-. *(,/

Confidential

HSBC Holdings plc, .,,/

$age .

#roup "& (*+,-.)./%doc

'ersin (%) final 0a1o .,,/

Introduccin
a organizacin encargada de proporcionar el servicio a HSBC debe llenar el siguiente documento% ;l documento se divide en varias secciones diferenciadas, cada una de las cuales trata un aspecto espec<fico de la Seguridad "nformtica% ;l rea de Seguridad "nformtica de HSBC utilizar la informacin proporcionada en este documento para evaluar los controles de seguridad en el sitio del proveedor 1 se emplear como base para realizar traba=os futuros% ;l ob=etivo de la columna nombrada >$autas 1 e=emplos de respuesta? es proporcionar algunas reas 1@o temas 1 e=emplos que debe considerar la persona que llene esta evaluacin% !espuAs de completar la evaluacin, Asta debe reBenviarse al remitente%

Confidential

HSBC Holdings plc, .,,/

$age )

#roup "& (*+,-.)./%doc

'ersin (%) final 0a1o .,,/

Por favor proveer la documentacin solicitada !ia"ramas cuando retorne el cuestionario completado
Nombre y detalle de la persona que complete el cuestionario Descripcin bsica del sistema que fue re isado Nombre y direccin de la compa"a donde est el sistema Nombre del responsable por la administracin del sistema Nombre del responsable por las actualizaciones de cdigo y solucin de problemas) *ue realizada una prueba de penetracin y comprobacin de seguridad de aplicacin por una tercera parte independiente+ !i es as, deseamos er los resultados) -Tiene su empresa alguna certificacin de seguridad . por e/emplo, ,!0 &1((%, ,0!203C %1144+ !i es as, proporcione pruebas de la certificacin y que su empresa est en cumplimiento5por e/emplo, una reciente auditora independiente6 7n diagrama de red del entorno de produccin que utiliza para alo/ar el ser icio 8!9C) #or fa or, incluir informacin de: Modelo de fire;all, tipo de la 0D! 5<ost o basada en red 6) Confidential HSBC Holdings plc, .,,/ $age 8 Comments Gonzalez Marcelo, Coordinador de Tecnologa !istema de Gestion de Cobranzas #a$tar srl #te #eron %&'( !an Miguel Gonzalez Marcelo Gonzalez Marcelo

N,

N,

#roup "& (*+,-.)./%doc !oft;are de aplicacin utilizado con numero de ersin y sistemas operati os con los ni eles de parc<es) Deglas del *ire;all que estEn implementados con el 8!9C50nterna y 3Bterna, destinos y puertos6 Guia utilizado para el !er er <ardening Donde el ser icio que se ofrece es transaccional 5e/ pagos por tar/eta6 confirme si cumple con los requisitos de #C0D!! Gestion =D >er &((%)?'@ Aindo;s Bp spC

'ersin (%) final 0a1o .,,/

Confidential

HSBC Holdings plc, .,,/

$age -

#roup "& (*+,-.)./%doc

'ersin (%) final 0a1o .,,/

Seccin

Asunto
/&mo se demuestra al personal la direccin y el apoyo de la administracin en cuanto a la se0uridad inform1tica2

Pautas y ejemplos de respuesta

/(3iste una pol4tica documentada de se0uridad2 /&mo se da a conocer al personal esa pol4tica documentada de Se0uridad %nform1tica2 /5u6 procedimientos de cumplimiento se lle an a ca7o para 0aranti8ar 9ue la pol4tica se lee: comprende e implanta2 "iste las responsa7ilidades de la administracin en cuanto a se0uridad. 'efinicin clara de funciones y responsa7ilidades en cuanto a la se0uridad dentro de la estructura de la or0ani8acin. ;oro de se0uridad en la or0ani8acin con representacin adecuada de la direccin 0eneral.

Respuesta del pro eedor

P!"#$%&A '( S()*R%'A' + !R)A,%-A&%.,

/5u6 controles de se0uridad se reali8an para las operaciones su7contratadas2

*so de informes de super isin y datos de ,o =ay operaciones su7 contratadas cumplimiento Re isiones re0ulares en sitio de la operacin su7contratada Reuniones frecuentes de super isin de ser icios con el pro eedor Re9uerimientos de se0uridad detallados e3pl4citamente en el contrato de ser icios: incluyendo un proceso de Respuesta a incidentes<Manejo de amena8as y un proceso de Manejo de ulnera7ilidad en la se0uridad Re isin semestral %n entario de Acti os.

/&mo 0aranti8a 9ue la pol4tica: Re isin administrati a frecuente las normas y los procedimientos de se0uridad est1n actuali8ados2 /&mo se manejan las amena8as Reali8acin de e aluaciones de ries0o y la ulnera7ilidad2 Mantenimiento de un in entario de acti os y clasificacin de datos para 0aranti8ar un manejo<almacenamiento<destruccin adecuada de documentos: etc. Se0uro adecuado para ries0os relacionados con %$

S()*R%'A' /&mo se 0aranti8a 9ue se Solicitar referencias de empleo < otras erificaciones de ,o se in esti0a '(" P(RS!,A" in esti0a adecuadamente a los tra7ajos anteriores posi7les empleados para tra7ajos !7tener e idencia de la preparacin acad6mica y

Confidential

HSBC Holdings plc, .,,/

$age C

#roup "& (*+,-.)./%doc Seccin

delicados2

'ersin (%) final 0a1o .,,/ Asunto Pautas y ejemplos de respuesta

profesional declarada Re isin de referencias de cr6dito Re isin de antecedentes penales Re isiones independientes de identidad >p. ej.: pasaporte? &ontratos inte0rales de empleo: 9ue incluyan@ &l1usulas de confidencialidad Referencia de responsa7ilidades en se0uridad Sanciones<procedimientos disciplinaros por falta de cumplimiento 'atos frecuentes de cumplimiento del personal en cuanto a responsa7ilidades de se0uridad y otros re9uerimientos le0ales y normati os &ontratos inte0rales de empleo: 9ue incluyan@ &l1usulas de confidencialidad Referencia de responsa7ilidades en se0uridad Sanciones<procedimientos disciplinaros por falta de cumplimiento 'atos frecuentes de cumplimiento del personal en cuanto a responsa7ilidades de se0uridad y otros re9uerimientos le0ales y normati os Respaldos adecuados para todas las funciones y responsa7ilidades cla e Procedimientos 7ien documentados Planeacin de sucesin &ursos formales de capacitacin Asesor4a &apacitacin respecto al puesto Pro0rama de certificacin Procedimiento de terminacin 9ue cu7ra la cancelacin del permiso para acceder a los edificios: sistemas: etc. (n 4o autom1tico de informacin del 1rea de nmina<RA =acia el departamento responsa7le de re ocar el acceso f4sico al edificio y el acceso l0ico a los sistemas de la compaC4a. Re isin frecuente de los derec=os de acceso a los sistemas

Respuesta del pro eedor

/&mo se 0aranti8a 9ue el personal cumple sus responsa7ilidades en cuanto a la se0uridad2

Sanciones.

/&mo se 0aranti8a 9ue los contratistas de terceros cumplen sus responsa7ilidades en cuanto a la se0uridad2

,o =ay terceri8ados

/5u6 medidas se toman >terceros? para 0aranti8ar 9ue no =ay un e3ceso de confian8a en el personal cla e2 /&mo se 0aranti8a 9ue el personal cuenta con las =a7ilidades y la capacitacin adecuadas para dar soporte a los ser icios de ASB&2 /5u6 controles e3isten para cu7rir la renuncia o despido de un empleado2

,o =ay terceri8ados

&apacitacion

Confidential

HSBC Holdings plc, .,,/

$age /

#roup "& (*+,-.)./%doc Seccin Asunto Pautas y ejemplos de respuesta

;ec=a automati8ada de encimiento respecto a la u7icacin del contratista y el acceso al sistema /&mo se e ita el acceso no autori8ado: los daCos y<o las intromisiones en las instalaciones del ne0ocio2 (l acceso de7e controlarse en todo momento %n0reso restrin0ido por cla e $odo acceso de7e estar autori8ado y re0istrado por la administracin desi0nada para =acerlo (l acceso de isitantes de7e estar autori8ado: justificado y super isado 'e7e =a7er 0uardias de se0uridad las 2D =oras: los 7 d4as de la semana Monitoreo &&$V del per4metro e3terior y de los puntos de acceso e3teriores ,o de7e =a7er entanas =acia el e3terior de instalaciones de computadoras o 1reas 9ue in olucran procesos delicados %ndependencia de 1reas encar0adas de procesos delicados con controles adicionales de acceso (l sitio de7e u7icarse en un lu0ar adecuado para los fines del mismo

'ersin (%) final 0a1o .,,/ Respuesta del pro eedor

S()*R%'A' ;#S%&A

/&mo se e ita el acceso no autori8ado: los daCos y<o las intromisiones en los e9uipos del ne0ocio y<o instalaciones de procesamiento de ASB&2

'e7e implantarse un sistema adecuado contra %n0reso restrin0ido por cla e < &amaras de se0uridad < Alarmas incendios -onas de acceso f4sicamente separadas dentro del edificio &o7ertura &&$V Mecanismos de control de acceso >p. ej.: sistemas de tarjetas ma0n6ticas: 7iom6tricos: etc.? Acceso restrin0ido a personas autori8adas a la sala >s? de computadoras Acceso restrin0ido y super isado para el personal e3terno >in0enieros de ser icio y telecomunicaciones: personal de limpie8a: etc.? $odos los ser idores y componentes de red de7en colocarse en estantes adecuados: a menos 9ue puedan pararse solos. Aire acondicionado con sensores de calor y =umedad Aire Acondcionado Sistema de 0as para apa0ar incendios con sensores en *PS el tec=o y en los pisos falsos )eneradores

/5u6 controles en cuanto al entorno e3isten para prote0er las instalaciones de las

Confidential

HSBC Holdings plc, .,,/

$age +

#roup "& (*+,-.)./%doc Seccin Asunto

computadoras2

'ersin (%) final 0a1o .,,/ Pautas y ejemplos de respuesta Respuesta del pro eedor

Sistemas de deteccin de inundaciones Sensores de $emperatura Sistema V(S'A de deteccin de =umo Sistema de suministro ininterrumpido de ener04a >*PS? )enerador >es? de respaldo ,o estar u7icado en 8ona de inundaciones Sistema de alimentacin dual y cone3iones resistentes de red "os ca7les de7en estar adecuadamente enla8ados y ase0urados. Sistema de administracin de edificios Super isin 2D<7 Mantenimiento pro0ramado %n0enieros en el sitio 'isponi7ilidad de refacciones adecuadas en el lu0ar &ontratos actuali8ados de mantenimiento

/&mo se 0aranti8a 9ue los controles en cuanto al entorno si0uen siendo efecti os y operati os2

/&mo se 0aranti8a un manejo se0uro de los datos S()*R%'A' + proporcionados por ASB&2 '(S(&A! '( M('%!S '( A"MA&(,AM%(, $! + 'A$!S

/&u1l es la pol4tica en cuanto a la clasificacin y el manejo se0uro de informacin de terceros >p. ej.: ASB&?2 'escripcin de los procedimientos para 0uardar y manejar los medios de almacenamiento de informacin >discos: cintas: &': etc.?: 9ue de7en 0uardarse en un lu0ar se0uroE todos los medios de7en eti9uetarse adecuadamente. /&mo se 0aranti8a el "a informacin proporcionada en medios de desec=o<destruccin se0ura de la almacenamiento >cintas: &': dis9uetes? H informacin proporcionada por Remo er todas las eti9uetas. /5u6 m6todos se ASB&2 emplean para la eliminacin permanente de datos2 'estruccin f4sica de medios de almacenamiento: p. ej.: trituracin e incineracin. (mpleo de un tercero especiali8ado en la materia: 9ue cuente con un contrato adecuado. Arc=i os de datos proporcionados por medios electrnicos >p. ej.: transferencia de datos: documentos adjuntos en correos electrnicos?: 9ue se encuentran en los discos duros de ser idores<P& %dentificar cual9uier softIare utili8ado para 7orrar la

BacFup en cinta: rotati o cada G dias y mensuales cada 1 cuatrimestre. )uardados en caja i0nifu0a.

,o se reci7e en medios f4sicos.

Confidential

HSBC Holdings plc, .,,/

$age *

#roup "& (*+,-.)./%doc Seccin Asunto Pautas y ejemplos de respuesta

informacin de ASB&: 9ue se encuentre el los discos duros de ser idores<P&. 'escri7ir el proceso utili8ado para destruir permanentemente la informacin proporcionada por ASB&. /&mo se ase0ura 9ue el ser icio re9uerido se proporcionar1 en el tiempo adecuado durante el A'M%,%S$RA&%. t6rmino pactado >p. ej.: 2D<7?2 , '(" S%S$(MA 'e7e acordarse un S"A con ASB&: antes de 9ue se ,o =ay =ay S"A inicien los ser icios: especificando los re9uerimientos de ASB&: el cam7io en los procedimientos de control: etc. ;recuencia de re isin del cumplimiento con el S"A. $oda suspensin temporal o reduccin de los ser icios de7er1 notificarse a ASB&. %dentificar cual9uier e9uipo 9ue se utili8ar1 para proporcionar el ser icio y 9ue no estar1 desi0nado e3clusi amente para ASB&. ,o

'ersin (%) final 0a1o .,,/ Respuesta del pro eedor

/(l e9uipo y los ser icios ser1n para uso e3clusi o de ASB&2 /&mo se 0aranti8a la continuidad del ser icio en caso de falla del sistema2

Respaldos continuos para cu7rir distintos periodos: p. Sistemas de toleracia a fallas: )eneradores: ups: 7acFups. ej.: diarios: semanales o mensuales. /'nde se almacenan los respaldos2 &oordinacin y frecuencia de los respaldos para 0aranti8ar la recuperacin y capacidad para lo0rar la misma dentro de los tiempos acepta7les para el ne0ocio Proteccin de los medios de respaldo cuando se encuentren en el sitio: fuera del sitio >res0uardo se0uro a prue7a de fue0o? y en tr1nsito Re9uerimientos de capacidad super isados y erificados re0ularmente. Sistemas y redes escalados adecuadamente "os sistemas son escala7les

/&mo se 0aranti8a 9ue el sistema cuenta con la capacidad suficiente para cumplir los ni eles de ser icio2 /5u6 procesos y<o procedimientos se reali8an para manejar pro7lemas con el sistema2

"as alertas y el monitoreo de7en reali8arse 2D<7 Monitoreo "os procedimientos de7en incluir la notificacin a ASB& u otras alertas importantes: iolaciones a la se0uridad y otros incidentes. 'e7en e3istir procedimientos de escalamiento y respuesta "as fallas de7en re0istrarse en una 7it1cora: in esti0arse y rectificarse.

Confidential

HSBC Holdings plc, .,,/

$age (,

#roup "& (*+,-.)./%doc Seccin Asunto Pautas y ejemplos de respuesta Respuesta del pro eedor

'ersin (%) final 0a1o .,,/

/&mo se manejar1n los cam7ios (l tercero encar0ado del ser icio de7er1 contar con los de sistema para los ser icios de datos de contacto de las personas de ASB& ASB&2 responsa7les de autori8ar cual9uier cam7io. "os procedimientos de retiro de7en detallarse antes de implantar cual9uier cam7io. $odos los cam7ios de7en e aluarse adecuadamente en un am7iente de prue7a: antes sacarlos a produccin. 'e7en e3istir procedimientos para re0istrar y 0estionar pro7lemas =asta su solucin. (l cam7io en los procedimientos de control de7e acordarse y documentarse. (s necesario detallar cmo y cu1ndo se ejecutar1n los cam7ios en los procedimientos. 'e7e incluirse un proceso de cam7io de emer0encia /&mo se administra la se0uridad "os administradores de se0uridad no de7en ser ,i eles de accesos distintos. en los sistemas2 usuarios finales. 'e7e =a7er procedimientos de administracin de se0uridad y procesos de apro7acin. 'e7e =a7er separacin de o7li0aciones entre funciones: p. ej.: los desarrolladores no de7en tener responsa7ilidades administrati as para los ser icios en uso. "as funciones y responsa7ilidades de7en documentarse claramente. 'e7en mantenerse pistas de auditor4a del acceso de administradores: las cuales est1n sujetas a re isiones independientes. /&mo se maneja la identificacin *so de ser icios 9ue alerten so7re la ulnera7ilidad. de parc=es y ulnera7ilidad del "istas de correo de los pro eedores de las sistema2 aplicaciones<sistemas operati os respecto a soluciones de ulnera7ilidad y ersiones de parc=es. Proceso de e aluacin de ries0os 'efinicin de proceso &(R$ /5u6 procedimientos se reali8an para 0aranti8ar 9ue el sistema en uso no se er1 afectado ad ersamente por cual9uier solucin<parc=e2

Confidential

HSBC Holdings plc, .,,/

$age ((

#roup "& (*+,-.)./%doc Seccin Asunto Pautas y ejemplos de respuesta

'esi0nacin de un indi iduo con la responsa7ilidad total del manejo de la recuperacin<continuidad del ne0ocio. "os planes de recuperacin del ne0ocio de7en estar documentados. /&on 9u6 frecuencia se re isan los planes2 /&on 9u6 frecuencia se prue7an los planes2 /&mo se prue7an los planes2 "os ser icios de7en ser completamente recupera7les: a menos 9ue ASB& =aya confirmado por escrito 9ue esto no es necesario. "os ser icios de7en ser contin0entes: a menos 9ue ASB& =aya confirmado por escrito 9ue esto no es necesario. (n caso de contin0encia: los ser icios de7en proporcionarse en una u7icacin 0eo0r1fica distinta: 9ue de7e cumplir con todos los controles detallados en esta lista de re isin.

'ersin (%) final 0a1o .,,/ Respuesta del pro eedor

(l proceso del manejo para la continuidad de un ne0ocio de7e implantarse para reducir las &!,$%,)(,&%A< interrupciones causadas por R(&*P(RA&%., desastres: incidentes y<o fallas de se0uridad. /&on 9ue frecuencia se re isan los procesos de contin0encia y recuperacin del ne0ocio2

,orma >s? documentadas de se0uridad de la plataforma: 9ue a7ar9uen el ni el implantado de fortalecimientoE p. ej.: todos los ser icios de red innecesarios o redundantes: las instalaciones de sistemas y redes: y los pro0ramas y cuentas se des=a7ilitan<retiran. $odas las operaciones<ser icios S()*R%'A' '( de7en funcionar con el m4nimo de pri ile0ios "A P"A$A;!RMA re9ueridos. 'e7e aplicarse la se0uridad adecuada para el sistema de arc=i os. &ontroles estrictos de las cuentas de usuario y contraseCas >lon0itud m4nima: lon0itud m13ima: intentos fallidos: =istorial: 7lo9ueo: etc.? "as confi0uraciones de7en definirse con 7ase en el principio de Jpri ile0ios m4nimosJ. /&mo se 0aranti8a 9ue los 'e7en e3istir normas de se0uridad t6cnica 9ue detallen ser idores y dem1s est1n las inte0raciones est1ndar del ser idor: la confi0uracin inculados con una confi0uracin del firewall: etc. se0ura y consistente2 Aplicacin de secuencias de comando de refuer8o %nstalaciones proporcionadas por el pro eedor para erificar y e aluar la confi0uracin de se0uridad

"os ser idores de7en construirse de manera estandari8ada y fortalecerse =asta alcan8ar el ni el adecuado para el am7iente en el 9ue operar1n.

Confidential

HSBC Holdings plc, .,,/

$age (.

#roup "& (*+,-.)./%doc Seccin Asunto Pautas y ejemplos de respuesta Respuesta del pro eedor

'ersin (%) final 0a1o .,,/

Prue7a de penetracin reali8ada por la or0ani8acin y<o por e3pertos e3ternos (l acceso a la informacin y los /$odas las cuentas de usuario y administrador son procesos de ne0ocio de7en estar Knicas: est1n justificadas y autori8adas: y se re isan controlados con 7ase en los re0ularmente2 re9uerimientos del ne0ocio y de Borrar o in=a7ilitar cuentas predeterminadas se0uridad: con el principio de &am7io de todas las contraseCas predeterminadas Jpri ile0ios m4nimosJ. Bit1cora: almacenaje y re isin de todas las acti idades importantes Restricciones de acceso a pistas de auditor4a %mplantacin de controles adecuados de contraseCas: por ejemplo: lon0itud m4nima: fec=a de encimiento e =istorial $odas las cuentas de7en contar con los pri ile0ios m4nimos re9ueridos para 9ue el usuario desempeCe sus funciones. "as cuentas con mayores pri ile0ios: p. ej.: usuarios ra48: slo se emplean en los procedimientos de control de cam7ios: no para la operacin diaria del sistema. Bit1cora y re isin de todos los accesos 'ocumentacin de controles aplicados: monitoreo de apro7aciones: y asi0nacin y uso de %'<contraseCas con mayores pri ile0ios /&mo se 0aranti8a la inte0ridad y confidencialidad de la informacin2 ( aluacin y clasificacin de todos los ries0os de los sistemas<datos Ase0uramiento de la informacin: slo accesi7le para las partes autori8adas "ista de controles para 9ue slo los usuarios autori8ados ten0an acceso a la informacin &ontroles cripto0r1ficos manejados de manera se0ura donde est6n implantados Procedimientos documentados y cam7ios de cla e reali8ados 7ajo un control dual SoftIare interacti o de anti irus instalado en ser idores Anti irus: AntispyIare: BacFup y P&: cuando corresponda Actuali8acin del softIare anti irus con los anti irus m1s recientes %mplementacin de un softIare de erificacin de

/&mo se ase0ura la inte0ridad de la infraestructura inform1tica2

Confidential

HSBC Holdings plc, .,,/

$age ()

#roup "& (*+,-.)./%doc Seccin Asunto

/5u6 procedimientos se reali8an para mantener actuali8adas las soluciones del sistema y de se0uridad: para reali8ar prue7as adecuadas y para aplicarse a los ser idores en produccin2

'ersin (%) final 0a1o .,,/ Pautas y ejemplos de respuesta

inte0ridad >p. eje.: $ripIire? Suscripcin a las listas de correo del pro eedor y de Personal t6cnico disponi7le 2D<7 se0uridad &(R$ con responsa7ilidad para e aluar el ries0o de la ulnera7ilidad en la se0uridad y desarrollar planes de accin. 'ocumentacin del proceso de manejo de ulnera7ilidad en la se0uridad

Respuesta del pro eedor

#roceso de emergencia para el mane/o de cambios !istemas de prueba disponibles para erificar parc<es y actualizaciones #ersonal tEcnico disponible &@21
"os datos cla e de confi0uracin del sistema de7en mantenerse de acuerdo con las recomendaciones del endedor. Mantenimiento documentado de la confi0uracin del sistema: con ersin y control de cam7ios. Respaldo de la instalacin inicial del sistema y actuali8aciones su7secuentes mantenidas fuera del sitio. "a re isin de la inte0ridad de Sistema de deteccin de intromisiones con 7ase en el arc=i os cr4ticos del sistema de7e ser idor implantarse para detectar<e itar SoftIare de erificacin de inte0ridad cam7ios maliciosos y<o Secuencias de comando para monitoreo del sistema accidentales (l acceso a la informacin y los procesos de ne0ocio de7en estar controlados con 7ase en los re9uerimientos del ne0ocio y de S()*R%'A' '( se0uridad. "AS AP"%&A&%!,(S "os permisos de usuario est1n restrin0idos a los Perfiles adecuados a los ni eles de re9uerimiento: restrin0idos por sistemas 9ue cada usuario re9uiere para reali8ar su cla e. tra7ajo. (l acceso a la aplicacin se reali8a por medio de cuentas autori8adas y est1 sujeto a controles estrictos de contraseCas. "as cuentas de usuario se re isan con re0ularidad para 0aranti8ar 9ue aKn se re9uiere el acceso y 9ue dic=o acceso es adecuado para las funciones del puesto %mplantacin de controles complejos de contraseCas >me8cla de caracteres alfa y num6ricos: uso de mayKsculas y minKsculas: caracteres especiales: etc.? &ontraseCas se0uras con cam7io for8ado cada L0 dias

'e7en implantarse controles adecuados de las contraseCas.

Confidential

HSBC Holdings plc, .,,/

$age (8

#roup "& (*+,-.)./%doc Seccin Asunto Pautas y ejemplos de respuesta

"on0itud m4nima de la contraseCa Vencimiento de la contraseCa Aistorial de la contraseCa Blo9ueo despu6s de cierto nKmero de intentos fallidos /5u6 mecanismos se reali8an para 0aranti8ar 9ue todas las acti idades importantes se re0istran en una 7it1cora: se almacenan y se re isan2 Restricciones de acceso a las pistas de auditor4a Ser idor independiente de 7it1coras de auditor4a Acceso a las 7it1coras de auditor4a no disponi7le para usuarios finales Pistas completas de auditor4a mantenidas para todas las adiciones<cam7ios<eliminaciones y<u otras acti idades operati as Re isin independiente de las pistas de auditor4a Pistas de auditor4a retenidas de acuerdo con los re9uerimientos del ne0ocio y<o normati os

'ersin (%) final 0a1o .,,/ Respuesta del pro eedor

Ase0uramiento de la informacin: &ontroles estrictos so7re la 7ase de datos slo accesi7le para las partes &ontroles estrictos en el sistema operati o a ni el de autori8adas arc=i o<directorio &odificacin de datos de autenticacin y de todos los dem1s datos de alto ries0o Reconocimiento de al0oritmos de codificacin con lon0itudes adecuadas para las cla es Respaldos codificados /5u6 procedimientos se reali8an para mantener actuali8adas las soluciones de se0uridad y la aplicacin: para reali8ar prue7as adecuadas y para aplicarse a los ser idores en produccin2 /&mo se identifican y rastrean las ulnera7ilidades de se0uridad del sistema2 /&on 9u6 frecuencia se aplican las soluciones de se0uridad y los parc=es para la aplicacin<sistema operati o2 /&mo se 0aranti8a 9ue una solucin<parc=e no impactar1 ad ersamente en el ser icio en la pr1ctica2 Suscripcin a las listas de correo del pro eedor y de se0uridad &(R$ con responsa7ilidad para e aluar el ries0o de la ulnera7ilidad en la se0uridad y desarrollar planes de accin. 'ocumentacin del proceso de manejo de ulnera7ilidad en la se0uridad

(s9uema de se0uridad a ni el directorio implementado en los ser idores de arc=i os.

#roceso de emergencia para el mane/o de Confidential HSBC Holdings plc, .,,/ $age (-

#roup "& (*+,-.)./%doc Seccin Asunto Pautas y ejemplos de respuesta cambios !istemas de prueba disponibles para erificar parc<es y actualizaciones #ersonal tEcnico disponible &@21 Metodologa de e aluacin de la aplicacin, incluyendo un proceso de prueba de regresin y cambios de emergencia
Acuerdo de 0arant4a para el softIare diseCado especialmente para el ser icio Proceso de apro7acin y autori8acin para pa9uetes de softIare Metodolo04a documentada del desarrollo de sistemas

'ersin (%) final 0a1o .,,/ Respuesta del pro eedor

/&mo se ase0ura la inte0ridad del softIare de la aplicacin2

'iseCo se0uro del sitio Ie7 y aplicacin de principios de codificacin

Acti idad<proceso para 0aranti8ar la calidad Metodolo04a documentada de prue7as Mecanismo de control de cam7ios y ersiones S()*R%'A' (, 'e7e e3istir una infraestructura "A R(' se0ura y fuerte para prote0er los ser icios de ASB& de la conecti idad e3terna. 'escripcin de la infraestructura del firewall: uso de *so de Vlans: ;ireIall %sa ser er. Puertos pu7licados solo para pn 'M-: V"A,S: etc. y Ie7. "os enrutadores =acen cumplir las A&" /Se implantar1n firewalls para uso e3clusi o de ASB&2 /"os firewalls reali8an una inspeccin completa2 /Se emplea softIare<sistemas de firewalls acreditados2 /(l firewall se 7asa en el dispositi o >=ardIare? o en la aplicacin >softIare?2: si se 7asa en el softIare: /cmo se =a fortalecido la plataforma del firewall2 /Se =an eliminado todos los ser icios<puertos: lo mismo 9ue las direcciones fuente y destino: no necesarios2 /Se =a predeterminado la pro=i7icin de todos los accesos y se =an =a7ilitado slo los accesos autori8ados2 /,o se puede acceder a la 7ase de datos del cliente 4a internet: dic=a 7ase de datos est1 u7icada en la red interna: detr1s de mKltiples firewalls: y est1 f4sica y l0icamente separada de e9uipos de terceros 9ue

Confidential

HSBC Holdings plc, .,,/

$age (C

#roup "& (*+,-.)./%doc Seccin Asunto Pautas y ejemplos de respuesta

est1n en una 'M-2 /5u6 procesos se reali8an para incluir a ASB& en el proceso de autori8acin para reali8ar cual9uier cam7io en la confi0uracin del firewall2 /"os firewalls cuentan con capacidades de inicio de sesin y alertas en tiempo real2 /Se reali8a un monitoreo 2D<7 con respuesta inmediata cuando se detecta al0una acti idad no autori8ada2 /Se =an implantado sistemas de deteccin de intromisiones >%'S?<Sistemas de pre encin de intromisiones >%PS? cuando se proporcionan ser icios de internet2 /5u6 prue7as de se0uridad se =an reali8ado so7re la infraestructura 9ue a =acia el e3terior2 'escri7ir los %'S<%PS implantados: 7asados en la red y<o en el ser idor.

'ersin (%) final 0a1o .,,/ Respuesta del pro eedor

Box scans reali8ados por el e9uipo interno de se0uridad Prue7as de penetracin de la red reali8adas por la or0ani8acin y por e3pertos e3ternos /&on 9u6 frecuencia se reali8an estas prue7as2 /5u6 =erramientas se emplean para reali8ar prue7as de se0uridad2

/&mo se notificar1 a ASB& si se "os incidentes 9ue afectan la se0uridad de7en identifica un ata9ue importante reportarse mediante los canales apropiados de 0estin: contra la or0ani8acin2 tan r1pido como sea posi7le. /5ui6n ser1 responsa7le de escalar los incidentes y notificarlos a ASB&2 /A 9u6 persona de ASB& escalar1 los incidentes o a 9ui6n esperar4a tener 9ue escalarlos2 'ocumentacin de respuestas a incidentes y del proceso de manejo de amena8as /5u6 mecanismos se emplean Sistema de deteccin de intromisiones >ser idor y<o para identificar y tratar red? con 0eneracin autom1tica de llamada >p. ej.: oportunamente una iolacin a la sistema de locali8adores o SMS? al personal de se0uridad fuera de las =oras se0uridad 9ue est6 de 0uardia. la7orales2 &entro de operaciones de red disponi7le 2D<7: con personal capacitado para monitorear los sistemas. Procedimiento documentado para el manejo de incidentes de se0uridad

Confidential

HSBC Holdings plc, .,,/

$age (/

#roup "& (*+,-.)./%doc Seccin Asunto

'e7e =a7er un control estricto en el acceso para soporte remoto y en el acceso para solucionar pro7lemas

'ersin (%) final 0a1o .,,/ Pautas y ejemplos de respuesta Respuesta del pro eedor

Autenticacin estricta por medio de dos factores >p. ej.: Autenticacion por pn. tarjetas de acceso? Acceso a tra 6s de un portal se0uro Sesiones encriptadas Acceso restrin0ido a la red %' de soporte disponi7le slo por la duracin de las acti idades para solucionar pro7lemas Re0istro en 7it1cora y re isin independiente de todas las acti idades para solucionar pro7lemas 'e7e =a7er un control so7re el (l acceso de terceros para soporte de7e re0irse por un acceso de terceros a los sistemas contrato 9ue detalle los re9uerimientos de se0uridad. para dar soporte (l acceso de7e concederse con pri ile0ios m4nimos y re ocarse al completar el tra7ajo. Autori8acin de sesiones de acceso remoto Apro7acin y re ocacin de acceso temporal Autenticacin de acceso remoto mediante el uso de mecanismos de se0uridad &ontroles para el acceso l0ico: con 7ase en el principio de Mpri ile0ios m4nimosN Verificacin de codificacin<inte0ridad Re0istro en 7it1cora y re isin de acciones reali8adas durante las sesiones de acceso remoto (l diseCo: operacin: uso y manejo de los sistemas de &*MP"%M%(,$! informacin puede estar sujeto a O*R#'%&! + re9uerimientos de se0uridad ,!RMA$%V! re0lamentarios: normati os y contractuales. /&mo se 0aranti8a el cumplimiento con los re9uerimientos le0islati os y normati os: 9ue impactan en su ne0ocio y en la propuesta de ASB&2

Confidential

HSBC Holdings plc, .,,/

$age (+