Beruflich Dokumente
Kultur Dokumente
DERECHOS DE AUTOR HSBC HOLDIN S !LC "##$% TODOS LOS DERECHOS RESER&ADOS% Ninguna parte de esta publicacin puede reproducirse, almacenarse en un sistema de recuperacin ni transmitirse de ninguna forma ni por ningn medio electrnico, mecnico, de fotocopiado, de grabacin o cualquier otro, sin la previa autorizacin por escrito de HSBC HO !"N#S $ C%
Historial de revisiones
Fecha 2gosto de .,,0a1o de .,,/ Versin (%. (%) Estado 3inal 4evisin anual No se requieren cambios Observaciones
Control de documentos
Funcin 2utor Nombre Steve &ravis Correo electrnico steve%travis56sbc%com Telfono 7 88 9,: ((8 .-. *(,/
Confidential
$age .
Introduccin
a organizacin encargada de proporcionar el servicio a HSBC debe llenar el siguiente documento% ;l documento se divide en varias secciones diferenciadas, cada una de las cuales trata un aspecto espec<fico de la Seguridad "nformtica% ;l rea de Seguridad "nformtica de HSBC utilizar la informacin proporcionada en este documento para evaluar los controles de seguridad en el sitio del proveedor 1 se emplear como base para realizar traba=os futuros% ;l ob=etivo de la columna nombrada >$autas 1 e=emplos de respuesta? es proporcionar algunas reas 1@o temas 1 e=emplos que debe considerar la persona que llene esta evaluacin% !espuAs de completar la evaluacin, Asta debe reBenviarse al remitente%
Confidential
$age )
Por favor proveer la documentacin solicitada !ia"ramas cuando retorne el cuestionario completado
Nombre y detalle de la persona que complete el cuestionario Descripcin bsica del sistema que fue re isado Nombre y direccin de la compa"a donde est el sistema Nombre del responsable por la administracin del sistema Nombre del responsable por las actualizaciones de cdigo y solucin de problemas) *ue realizada una prueba de penetracin y comprobacin de seguridad de aplicacin por una tercera parte independiente+ !i es as, deseamos er los resultados) -Tiene su empresa alguna certificacin de seguridad . por e/emplo, ,!0 &1((%, ,0!203C %1144+ !i es as, proporcione pruebas de la certificacin y que su empresa est en cumplimiento5por e/emplo, una reciente auditora independiente6 7n diagrama de red del entorno de produccin que utiliza para alo/ar el ser icio 8!9C) #or fa or, incluir informacin de: Modelo de fire;all, tipo de la 0D! 5<ost o basada en red 6) Confidential HSBC Holdings plc, .,,/ $age 8 Comments Gonzalez Marcelo, Coordinador de Tecnologa !istema de Gestion de Cobranzas #a$tar srl #te #eron %&'( !an Miguel Gonzalez Marcelo Gonzalez Marcelo
N,
N,
#roup "& (*+,-.)./%doc !oft;are de aplicacin utilizado con numero de ersin y sistemas operati os con los ni eles de parc<es) Deglas del *ire;all que estEn implementados con el 8!9C50nterna y 3Bterna, destinos y puertos6 Guia utilizado para el !er er <ardening Donde el ser icio que se ofrece es transaccional 5e/ pagos por tar/eta6 confirme si cumple con los requisitos de #C0D!! Gestion =D >er &((%)?'@ Aindo;s Bp spC
Confidential
$age -
Seccin
Asunto
/&mo se demuestra al personal la direccin y el apoyo de la administracin en cuanto a la se0uridad inform1tica2
*so de informes de super isin y datos de ,o =ay operaciones su7 contratadas cumplimiento Re isiones re0ulares en sitio de la operacin su7contratada Reuniones frecuentes de super isin de ser icios con el pro eedor Re9uerimientos de se0uridad detallados e3pl4citamente en el contrato de ser icios: incluyendo un proceso de Respuesta a incidentes<Manejo de amena8as y un proceso de Manejo de ulnera7ilidad en la se0uridad Re isin semestral %n entario de Acti os.
/&mo 0aranti8a 9ue la pol4tica: Re isin administrati a frecuente las normas y los procedimientos de se0uridad est1n actuali8ados2 /&mo se manejan las amena8as Reali8acin de e aluaciones de ries0o y la ulnera7ilidad2 Mantenimiento de un in entario de acti os y clasificacin de datos para 0aranti8ar un manejo<almacenamiento<destruccin adecuada de documentos: etc. Se0uro adecuado para ries0os relacionados con %$
S()*R%'A' /&mo se 0aranti8a 9ue se Solicitar referencias de empleo < otras erificaciones de ,o se in esti0a '(" P(RS!,A" in esti0a adecuadamente a los tra7ajos anteriores posi7les empleados para tra7ajos !7tener e idencia de la preparacin acad6mica y
Confidential
$age C
Sanciones.
/&mo se 0aranti8a 9ue los contratistas de terceros cumplen sus responsa7ilidades en cuanto a la se0uridad2
,o =ay terceri8ados
/5u6 medidas se toman >terceros? para 0aranti8ar 9ue no =ay un e3ceso de confian8a en el personal cla e2 /&mo se 0aranti8a 9ue el personal cuenta con las =a7ilidades y la capacitacin adecuadas para dar soporte a los ser icios de ASB&2 /5u6 controles e3isten para cu7rir la renuncia o despido de un empleado2
,o =ay terceri8ados
&apacitacion
Confidential
$age /
S()*R%'A' ;#S%&A
/&mo se e ita el acceso no autori8ado: los daCos y<o las intromisiones en los e9uipos del ne0ocio y<o instalaciones de procesamiento de ASB&2
'e7e implantarse un sistema adecuado contra %n0reso restrin0ido por cla e < &amaras de se0uridad < Alarmas incendios -onas de acceso f4sicamente separadas dentro del edificio &o7ertura &&$V Mecanismos de control de acceso >p. ej.: sistemas de tarjetas ma0n6ticas: 7iom6tricos: etc.? Acceso restrin0ido a personas autori8adas a la sala >s? de computadoras Acceso restrin0ido y super isado para el personal e3terno >in0enieros de ser icio y telecomunicaciones: personal de limpie8a: etc.? $odos los ser idores y componentes de red de7en colocarse en estantes adecuados: a menos 9ue puedan pararse solos. Aire acondicionado con sensores de calor y =umedad Aire Acondcionado Sistema de 0as para apa0ar incendios con sensores en *PS el tec=o y en los pisos falsos )eneradores
/5u6 controles en cuanto al entorno e3isten para prote0er las instalaciones de las
Confidential
$age +
'ersin (%) final 0a1o .,,/ Pautas y ejemplos de respuesta Respuesta del pro eedor
Sistemas de deteccin de inundaciones Sensores de $emperatura Sistema V(S'A de deteccin de =umo Sistema de suministro ininterrumpido de ener04a >*PS? )enerador >es? de respaldo ,o estar u7icado en 8ona de inundaciones Sistema de alimentacin dual y cone3iones resistentes de red "os ca7les de7en estar adecuadamente enla8ados y ase0urados. Sistema de administracin de edificios Super isin 2D<7 Mantenimiento pro0ramado %n0enieros en el sitio 'isponi7ilidad de refacciones adecuadas en el lu0ar &ontratos actuali8ados de mantenimiento
/&mo se 0aranti8a 9ue los controles en cuanto al entorno si0uen siendo efecti os y operati os2
/&mo se 0aranti8a un manejo se0uro de los datos S()*R%'A' + proporcionados por ASB&2 '(S(&A! '( M('%!S '( A"MA&(,AM%(, $! + 'A$!S
/&u1l es la pol4tica en cuanto a la clasificacin y el manejo se0uro de informacin de terceros >p. ej.: ASB&?2 'escripcin de los procedimientos para 0uardar y manejar los medios de almacenamiento de informacin >discos: cintas: &': etc.?: 9ue de7en 0uardarse en un lu0ar se0uroE todos los medios de7en eti9uetarse adecuadamente. /&mo se 0aranti8a el "a informacin proporcionada en medios de desec=o<destruccin se0ura de la almacenamiento >cintas: &': dis9uetes? H informacin proporcionada por Remo er todas las eti9uetas. /5u6 m6todos se ASB&2 emplean para la eliminacin permanente de datos2 'estruccin f4sica de medios de almacenamiento: p. ej.: trituracin e incineracin. (mpleo de un tercero especiali8ado en la materia: 9ue cuente con un contrato adecuado. Arc=i os de datos proporcionados por medios electrnicos >p. ej.: transferencia de datos: documentos adjuntos en correos electrnicos?: 9ue se encuentran en los discos duros de ser idores<P& %dentificar cual9uier softIare utili8ado para 7orrar la
BacFup en cinta: rotati o cada G dias y mensuales cada 1 cuatrimestre. )uardados en caja i0nifu0a.
Confidential
$age *
/(l e9uipo y los ser icios ser1n para uso e3clusi o de ASB&2 /&mo se 0aranti8a la continuidad del ser icio en caso de falla del sistema2
Respaldos continuos para cu7rir distintos periodos: p. Sistemas de toleracia a fallas: )eneradores: ups: 7acFups. ej.: diarios: semanales o mensuales. /'nde se almacenan los respaldos2 &oordinacin y frecuencia de los respaldos para 0aranti8ar la recuperacin y capacidad para lo0rar la misma dentro de los tiempos acepta7les para el ne0ocio Proteccin de los medios de respaldo cuando se encuentren en el sitio: fuera del sitio >res0uardo se0uro a prue7a de fue0o? y en tr1nsito Re9uerimientos de capacidad super isados y erificados re0ularmente. Sistemas y redes escalados adecuadamente "os sistemas son escala7les
/&mo se 0aranti8a 9ue el sistema cuenta con la capacidad suficiente para cumplir los ni eles de ser icio2 /5u6 procesos y<o procedimientos se reali8an para manejar pro7lemas con el sistema2
"as alertas y el monitoreo de7en reali8arse 2D<7 Monitoreo "os procedimientos de7en incluir la notificacin a ASB& u otras alertas importantes: iolaciones a la se0uridad y otros incidentes. 'e7en e3istir procedimientos de escalamiento y respuesta "as fallas de7en re0istrarse en una 7it1cora: in esti0arse y rectificarse.
Confidential
$age (,
#roup "& (*+,-.)./%doc Seccin Asunto Pautas y ejemplos de respuesta Respuesta del pro eedor
/&mo se manejar1n los cam7ios (l tercero encar0ado del ser icio de7er1 contar con los de sistema para los ser icios de datos de contacto de las personas de ASB& ASB&2 responsa7les de autori8ar cual9uier cam7io. "os procedimientos de retiro de7en detallarse antes de implantar cual9uier cam7io. $odos los cam7ios de7en e aluarse adecuadamente en un am7iente de prue7a: antes sacarlos a produccin. 'e7en e3istir procedimientos para re0istrar y 0estionar pro7lemas =asta su solucin. (l cam7io en los procedimientos de control de7e acordarse y documentarse. (s necesario detallar cmo y cu1ndo se ejecutar1n los cam7ios en los procedimientos. 'e7e incluirse un proceso de cam7io de emer0encia /&mo se administra la se0uridad "os administradores de se0uridad no de7en ser ,i eles de accesos distintos. en los sistemas2 usuarios finales. 'e7e =a7er procedimientos de administracin de se0uridad y procesos de apro7acin. 'e7e =a7er separacin de o7li0aciones entre funciones: p. ej.: los desarrolladores no de7en tener responsa7ilidades administrati as para los ser icios en uso. "as funciones y responsa7ilidades de7en documentarse claramente. 'e7en mantenerse pistas de auditor4a del acceso de administradores: las cuales est1n sujetas a re isiones independientes. /&mo se maneja la identificacin *so de ser icios 9ue alerten so7re la ulnera7ilidad. de parc=es y ulnera7ilidad del "istas de correo de los pro eedores de las sistema2 aplicaciones<sistemas operati os respecto a soluciones de ulnera7ilidad y ersiones de parc=es. Proceso de e aluacin de ries0os 'efinicin de proceso &(R$ /5u6 procedimientos se reali8an para 0aranti8ar 9ue el sistema en uso no se er1 afectado ad ersamente por cual9uier solucin<parc=e2
Confidential
$age ((
(l proceso del manejo para la continuidad de un ne0ocio de7e implantarse para reducir las &!,$%,)(,&%A< interrupciones causadas por R(&*P(RA&%., desastres: incidentes y<o fallas de se0uridad. /&on 9ue frecuencia se re isan los procesos de contin0encia y recuperacin del ne0ocio2
,orma >s? documentadas de se0uridad de la plataforma: 9ue a7ar9uen el ni el implantado de fortalecimientoE p. ej.: todos los ser icios de red innecesarios o redundantes: las instalaciones de sistemas y redes: y los pro0ramas y cuentas se des=a7ilitan<retiran. $odas las operaciones<ser icios S()*R%'A' '( de7en funcionar con el m4nimo de pri ile0ios "A P"A$A;!RMA re9ueridos. 'e7e aplicarse la se0uridad adecuada para el sistema de arc=i os. &ontroles estrictos de las cuentas de usuario y contraseCas >lon0itud m4nima: lon0itud m13ima: intentos fallidos: =istorial: 7lo9ueo: etc.? "as confi0uraciones de7en definirse con 7ase en el principio de Jpri ile0ios m4nimosJ. /&mo se 0aranti8a 9ue los 'e7en e3istir normas de se0uridad t6cnica 9ue detallen ser idores y dem1s est1n las inte0raciones est1ndar del ser idor: la confi0uracin inculados con una confi0uracin del firewall: etc. se0ura y consistente2 Aplicacin de secuencias de comando de refuer8o %nstalaciones proporcionadas por el pro eedor para erificar y e aluar la confi0uracin de se0uridad
"os ser idores de7en construirse de manera estandari8ada y fortalecerse =asta alcan8ar el ni el adecuado para el am7iente en el 9ue operar1n.
Confidential
$age (.
#roup "& (*+,-.)./%doc Seccin Asunto Pautas y ejemplos de respuesta Respuesta del pro eedor
Prue7a de penetracin reali8ada por la or0ani8acin y<o por e3pertos e3ternos (l acceso a la informacin y los /$odas las cuentas de usuario y administrador son procesos de ne0ocio de7en estar Knicas: est1n justificadas y autori8adas: y se re isan controlados con 7ase en los re0ularmente2 re9uerimientos del ne0ocio y de Borrar o in=a7ilitar cuentas predeterminadas se0uridad: con el principio de &am7io de todas las contraseCas predeterminadas Jpri ile0ios m4nimosJ. Bit1cora: almacenaje y re isin de todas las acti idades importantes Restricciones de acceso a pistas de auditor4a %mplantacin de controles adecuados de contraseCas: por ejemplo: lon0itud m4nima: fec=a de encimiento e =istorial $odas las cuentas de7en contar con los pri ile0ios m4nimos re9ueridos para 9ue el usuario desempeCe sus funciones. "as cuentas con mayores pri ile0ios: p. ej.: usuarios ra48: slo se emplean en los procedimientos de control de cam7ios: no para la operacin diaria del sistema. Bit1cora y re isin de todos los accesos 'ocumentacin de controles aplicados: monitoreo de apro7aciones: y asi0nacin y uso de %'<contraseCas con mayores pri ile0ios /&mo se 0aranti8a la inte0ridad y confidencialidad de la informacin2 ( aluacin y clasificacin de todos los ries0os de los sistemas<datos Ase0uramiento de la informacin: slo accesi7le para las partes autori8adas "ista de controles para 9ue slo los usuarios autori8ados ten0an acceso a la informacin &ontroles cripto0r1ficos manejados de manera se0ura donde est6n implantados Procedimientos documentados y cam7ios de cla e reali8ados 7ajo un control dual SoftIare interacti o de anti irus instalado en ser idores Anti irus: AntispyIare: BacFup y P&: cuando corresponda Actuali8acin del softIare anti irus con los anti irus m1s recientes %mplementacin de un softIare de erificacin de
Confidential
$age ()
#roceso de emergencia para el mane/o de cambios !istemas de prueba disponibles para erificar parc<es y actualizaciones #ersonal tEcnico disponible &@21
"os datos cla e de confi0uracin del sistema de7en mantenerse de acuerdo con las recomendaciones del endedor. Mantenimiento documentado de la confi0uracin del sistema: con ersin y control de cam7ios. Respaldo de la instalacin inicial del sistema y actuali8aciones su7secuentes mantenidas fuera del sitio. "a re isin de la inte0ridad de Sistema de deteccin de intromisiones con 7ase en el arc=i os cr4ticos del sistema de7e ser idor implantarse para detectar<e itar SoftIare de erificacin de inte0ridad cam7ios maliciosos y<o Secuencias de comando para monitoreo del sistema accidentales (l acceso a la informacin y los procesos de ne0ocio de7en estar controlados con 7ase en los re9uerimientos del ne0ocio y de S()*R%'A' '( se0uridad. "AS AP"%&A&%!,(S "os permisos de usuario est1n restrin0idos a los Perfiles adecuados a los ni eles de re9uerimiento: restrin0idos por sistemas 9ue cada usuario re9uiere para reali8ar su cla e. tra7ajo. (l acceso a la aplicacin se reali8a por medio de cuentas autori8adas y est1 sujeto a controles estrictos de contraseCas. "as cuentas de usuario se re isan con re0ularidad para 0aranti8ar 9ue aKn se re9uiere el acceso y 9ue dic=o acceso es adecuado para las funciones del puesto %mplantacin de controles complejos de contraseCas >me8cla de caracteres alfa y num6ricos: uso de mayKsculas y minKsculas: caracteres especiales: etc.? &ontraseCas se0uras con cam7io for8ado cada L0 dias
Confidential
$age (8
Ase0uramiento de la informacin: &ontroles estrictos so7re la 7ase de datos slo accesi7le para las partes &ontroles estrictos en el sistema operati o a ni el de autori8adas arc=i o<directorio &odificacin de datos de autenticacin y de todos los dem1s datos de alto ries0o Reconocimiento de al0oritmos de codificacin con lon0itudes adecuadas para las cla es Respaldos codificados /5u6 procedimientos se reali8an para mantener actuali8adas las soluciones de se0uridad y la aplicacin: para reali8ar prue7as adecuadas y para aplicarse a los ser idores en produccin2 /&mo se identifican y rastrean las ulnera7ilidades de se0uridad del sistema2 /&on 9u6 frecuencia se aplican las soluciones de se0uridad y los parc=es para la aplicacin<sistema operati o2 /&mo se 0aranti8a 9ue una solucin<parc=e no impactar1 ad ersamente en el ser icio en la pr1ctica2 Suscripcin a las listas de correo del pro eedor y de se0uridad &(R$ con responsa7ilidad para e aluar el ries0o de la ulnera7ilidad en la se0uridad y desarrollar planes de accin. 'ocumentacin del proceso de manejo de ulnera7ilidad en la se0uridad
#roceso de emergencia para el mane/o de Confidential HSBC Holdings plc, .,,/ $age (-
#roup "& (*+,-.)./%doc Seccin Asunto Pautas y ejemplos de respuesta cambios !istemas de prueba disponibles para erificar parc<es y actualizaciones #ersonal tEcnico disponible &@21 Metodologa de e aluacin de la aplicacin, incluyendo un proceso de prueba de regresin y cambios de emergencia
Acuerdo de 0arant4a para el softIare diseCado especialmente para el ser icio Proceso de apro7acin y autori8acin para pa9uetes de softIare Metodolo04a documentada del desarrollo de sistemas
Confidential
$age (C
Box scans reali8ados por el e9uipo interno de se0uridad Prue7as de penetracin de la red reali8adas por la or0ani8acin y por e3pertos e3ternos /&on 9u6 frecuencia se reali8an estas prue7as2 /5u6 =erramientas se emplean para reali8ar prue7as de se0uridad2
/&mo se notificar1 a ASB& si se "os incidentes 9ue afectan la se0uridad de7en identifica un ata9ue importante reportarse mediante los canales apropiados de 0estin: contra la or0ani8acin2 tan r1pido como sea posi7le. /5ui6n ser1 responsa7le de escalar los incidentes y notificarlos a ASB&2 /A 9u6 persona de ASB& escalar1 los incidentes o a 9ui6n esperar4a tener 9ue escalarlos2 'ocumentacin de respuestas a incidentes y del proceso de manejo de amena8as /5u6 mecanismos se emplean Sistema de deteccin de intromisiones >ser idor y<o para identificar y tratar red? con 0eneracin autom1tica de llamada >p. ej.: oportunamente una iolacin a la sistema de locali8adores o SMS? al personal de se0uridad fuera de las =oras se0uridad 9ue est6 de 0uardia. la7orales2 &entro de operaciones de red disponi7le 2D<7: con personal capacitado para monitorear los sistemas. Procedimiento documentado para el manejo de incidentes de se0uridad
Confidential
$age (/
'ersin (%) final 0a1o .,,/ Pautas y ejemplos de respuesta Respuesta del pro eedor
Autenticacin estricta por medio de dos factores >p. ej.: Autenticacion por pn. tarjetas de acceso? Acceso a tra 6s de un portal se0uro Sesiones encriptadas Acceso restrin0ido a la red %' de soporte disponi7le slo por la duracin de las acti idades para solucionar pro7lemas Re0istro en 7it1cora y re isin independiente de todas las acti idades para solucionar pro7lemas 'e7e =a7er un control so7re el (l acceso de terceros para soporte de7e re0irse por un acceso de terceros a los sistemas contrato 9ue detalle los re9uerimientos de se0uridad. para dar soporte (l acceso de7e concederse con pri ile0ios m4nimos y re ocarse al completar el tra7ajo. Autori8acin de sesiones de acceso remoto Apro7acin y re ocacin de acceso temporal Autenticacin de acceso remoto mediante el uso de mecanismos de se0uridad &ontroles para el acceso l0ico: con 7ase en el principio de Mpri ile0ios m4nimosN Verificacin de codificacin<inte0ridad Re0istro en 7it1cora y re isin de acciones reali8adas durante las sesiones de acceso remoto (l diseCo: operacin: uso y manejo de los sistemas de &*MP"%M%(,$! informacin puede estar sujeto a O*R#'%&! + re9uerimientos de se0uridad ,!RMA$%V! re0lamentarios: normati os y contractuales. /&mo se 0aranti8a el cumplimiento con los re9uerimientos le0islati os y normati os: 9ue impactan en su ne0ocio y en la propuesta de ASB&2
Confidential
$age (+