Seguridad Corporativa
Debe/Debería Criterio
En la promoción de una cultura de seguridad, los miembros de CTPAT
deben dar a conocer su compromiso con la cadena de suministro de
Debería seguridad y el programa CTPAT. a través de una declaración de apoyo.
La declaración debe ser firmada por un alto funcionario de la
compañía y se muestra en toda la empresa.
Para construir un robusto programa de seguridad de la cadena de
suministro, una empresa debe incorporar representantes de todos
Debería los departamentos relevantes en un equipo multidisciplinario.
Estas nuevas medidas de seguridad deben ser incluidas en los
procedimientos existentes de la empresa, lo que crea una estructura
más sostenible y subraya que la seguridad de la cadena de suministro
es responsabilidad de todos.
Implementar el marco adecuado para un programa de seguridad es
importante para su exito. Para garantizar la continuidad de un
Debe programa, se realiza un proceso escrito de revisión / evaluación en
varios niveles, que incluye un sistema de revisiones y
responsabilidades, deben integrarse en el marco de seguridad para
verificar que el programa sigue funcionando como fue diseñado.
El papel de la alta gerencia de una empresa en CTPAT es proporcionar
Apoyo y supervisión para garantizar la creación y el mantenimiento
del programa de seguridad de la cadena de suministro de la
compañía. Para ello, los puntos de contacto (POC) de CTPAT deben
Debe proporcionar actualizaciones periódicas con respecto a los avances o
resultados de las auditorías, ejercicios o validaciones. Los POC deben
conocer los requisitos del programa de CTPAT. Además, esta persona
debe ser capaz de tomar decisiones en nombre de la empresa en
asuntos CTPAT
Guía de implementación Se realiza N/A Departamento responsable Observaciones y/o evidencias
Visión de seguridad y responsabilidad
La declaración de apoyo debe resaltar la importancia de proteger la cadena de
suministro de actividades delictivas como el narcotráfico, terrorismo, contrabando
de personas y contrabando ilegal. Los altos funcionarios de la empresa que deben
apoyar y firmar la declaración pueden incluir el Presidente, CEO, Gerente General
o Director de Seguridad. Las áreas para mostrar la declaración de apoyo pueden
ser el sitio web de la compañía, en carteles en áreas clave de la empresa
(recepción; almacén; etc.), y / o ser parte de seminarios de seguridad de la
compañía, etc.
La seguridad de la cadena de suministro tiene un alcance mucho más amplio que
el tradicional programas de seguridad; se entrelaza a través de muchos
departamentos, a lo largo la Seguridad, como por ejemplo recursos humanos,
tecnología de la Información, y oficinas de importación / exportación. Programas
de seguridad de la cadena de suministro basados en un modelo más tradicional
como en el Departamento de seguridad puede ser menos viable a largo plazo
porque la responsabilidad de llevar a cabo las medidas de seguridad se
concentran con menos empleados y, como resultado, puede ser susceptible a la
pérdida de personal clave.
Un sistema de auditoría de multiples niveles implica la creación de una
estructura de auditoría / revisión. Eso corresponde a los niveles de gestión en la
empresa. Los supervisores auditan / revisan a sus empleados directos, y en el
siguiente nivel los gerentes dan auditoría / revisión a los supervisores para
asegurar que las responsabilidades asignadas a cada nivel se están cumpliendo de
acuerdo con el diseño del programa de seguridad de la cadena de suministro.
Para Miembros con cadenas de suministro de alto riesgo basadas en su propio
riesgo. Las evaluaciones, simulación o ejercicios pueden ser parte del control
específico para garantizar que el personal sepa cómo reaccionar en el evento de
un incidente de seguridad real.
CTPAT espera que el POC designado sea un individuo proactivo que se
compromete y responde a su cadena de suministro de seguridad especializada.
Los miembros pueden identificar individuos adicionales que pueden ayudar y
apoyar esta función, listándolos como contactos en el Portal CTPAT.
 Evaluación de riesgos (RA)

La evaluación general de riesgos se compone de dos partes clave. La primera

parte es una autoevaluación de las práctricas, procedimientos y políticas de la
seguridad de la cadena de suministro, dentro de las instalaciones que controla.
para verificar su adhesión a los Criterios de Seguridad Mínimos de CTPAT, y una
revisión gerencial general de cómo se está manejando el riesgo.

Los miembros de CTPAT deben realizar y documentar una evaluación

de riesgo (RA) para identificar dónde pueden existir vulnerabilidades
de seguridad. La RA debe identificar amenazas, cuantificar riesgos e
Debe incorporar estrategias sostenibles. Medidas para mitigar las
vulnerabilidades. El Miembro debe tener en cuenta los requisitos
CTPAT específicos para el papel del Miembro en el cadena de
suministro.
La segunda parte de la evaluación rápida es la evaluación internacional de riesgos.
Esta La parte de la RA incluye la identificación de amenazas geográficas basado en
el modelo de negocio del miembro y su papel en la cadena de suministro, y un
proceso para cuantificar el posible impacto de cada amenaza en el seguridad de la
cadena de suministro del Miembro.

CTPAT desarrolló la guía de evaluación de riesgos de 5 pasos como una ayuda para
realizar la parte de la evaluación de riesgo internacional de un Miembro, y se
puede encontrar en las Aduanas de EE. UU. y El sitio web de Border Protection en
https://www.cbp.gov/sites/default/files/documents/C-TPAT%27s%20Five%20Step
%20Risk%20Assessment%20Process.pdf

La evaluación general de riesgos debe incorporar vulnerabilidades

específicas del sitio. aplicable a la función del miembro en la cadena Los terceros pueden incluir trabajadores portuarios estacionales, servicios de
Debe de suministro, incluida la medida en que el miembro CTPAT depende limpieza, proveedores de tecnologia de la Información contratados, etc.
de terceros con acceso a las operaciones de exportación y
cargamento, tanto entradas como salidas, según corresponda.

La parte internacional de la evaluación de riesgos debe documentar o

mapear el movimiento de la carga del miembro a través de su cadena Al documentar el movimiento de toda la carga, el miembro debe considerar a
de suministro desde el punto de origen al centro de distribución del todas las partes involucradas, incluidas aquellas que solo harán manejo de los
Importador. El mapeo debe incluir a todos los socios comerciales documentos tales como agentes de aduanas y otros que no puede manejar
involucrados directa e indirectamente. En la exportación /
directamente la carga, pero puede tener control operacional tales como los
Debe movimiento de las mercancías. Según corresponda, el mapeo debe transportistas comunes no operados por buques (NVOCCs) o proveedores de
incluir el documentar cómo se mueve la carga en y fuera de las
instalaciones de transporte / centros de carga y notando si la carga logística de terceros (3PLs). Si alguna parte del transporte está subcontratada,
está “en descanso ”en una de estas ubicaciones durante un período esto también se puede considerar debido a que a más capas de partes indirectas,
mayor riesgo implica..
prolongado de tiempo. La carga es más vulnerable cuando está "en
reposo", esperando para pasar a la siguiente etapa de su viaje.

Las evaluaciones de riesgo se deben revisar anualmente, o más
Debe frecuentemente según lo determinen los factores de riesgo.
Las circunstancias que pueden requerir una evaluación de riesgo para ser revisada
con más frecuencia que una vez al año incluyen un nivel de amenaza mayor de un
país específico, períodos de mayor alerta, tras una violación o incidente de
seguridad, cambios en socios comerciales y / o cambios en la estructura
corporativa / propiedad como fusiones y adquisiciones, etc.

Una crisis puede incluir la interrupción del movimiento de datos de comercio

Los miembros de CTPAT deben contar con procedimientos escritos
Debería que aborden la gestión de crisis, la continuidad del negocio, los
planes de recuperación de seguridad y la reanudación del negocio.
debido a un ataque cibernético, un incendio o un conductor de un transportista
que es secuestrado por individuos armados. Según el riesgo y el lugar donde
opera el Miembro o las fuentes, los planes de contingencia pueden incluir
notificaciones de seguridad o soporte adicionales; y cómo recuperar lo que fue
destruido o robado y volver a las condiciones normales de funcionamiento.
 Socios comerciales

Revisar la “legitimidad” de los socios comerciales es muy importante. Los

delincuentes a menudo se hacen pasar por un negocio legítimo al crear una
compañía falsa o ficticia. La empresa falsa puede presentarse como un exportador
/ importador o agente que representa a una empresa o consorcio de pequeñas
empresas. O, para pretender ser una compañía de camiones legítima, una
compañía falsa puede registrarse con un agente de carga para perpetrar una
Los miembros de CTPAT deben tener un proceso escrito basado en el recolección ficticia o fraudulenta. Si su empresa utiliza los servicios de un agente
riesgo para seleccionar nuevos socios comerciales y para monitorear de carga, esta es una amenaza creciente en toda la industria a considerar en su
Debe a los socios actuales. Los factores que deben incluirse en este evaluación de riesgos. Los siguientes son algunos de los elementos de verificación
proceso son los controles sobre la solidez financiera de la empresa y que pueden ayudar a determinar si una empresa es legítima:
la actividad relacionada con el lavado de dinero y la financiación del • Verificar la dirección comercial de la empresa y cuánto tiempo han estado en
terrorismo. esa dirección;
• Verificación de números de teléfono de línea terrestre;
• Llevar a cabo investigaciones en Internet sobre la compañía y sus directores; y
• Comprobación de referencias comerciales.
Para ayudar con este proceso, se alienta a los Miembros a consultar el documento
Indicadores de advertencia de CTPAT para actividades de lavado de dinero basado
en el comercio y financiamiento del terrorismo.

La certificación CTPAT de los socios comerciales se puede determinar a través del

Los miembros pueden optar por aceptar la certificación de sus socios
comerciales en CTPAT o un programa de Operador Económico
Autorizado (AEO) aprobado con un Acuerdo de Reconocimiento
Mutuo (MRA) con los Estados Unidos, como prueba de que cumplen
Debe con los criterios de seguridad de CTPAT. Sin embargo, los Miembros
deben obtener evidencia de la certificación como prueba de
cumplimiento y deben continuar supervisando a estos socios
comerciales para garantizar que mantengan su certificación.
sistema de Interfaz de Verificación de Estado del Portal CTPAT. Si la certificación
del socio comercial es de un programa extranjero de AEO en virtud de un MRA
con los Estados Unidos, la certificación de AEO extranjero incluirá el componente
de seguridad. Los miembros pueden visitar el sitio web de la Administración de
Aduanas extranjera donde se enumeran los nombres de los OEA de esa
Administración de Aduanas o solicitar la certificación directamente a sus socios
comerciales. Los MRA actuales de los Estados Unidos incluyen: Nueva Zelanda,
Canadá, Jordania, Japón, Corea del Sur, la Unión Europea (28 Estados miembros),
Taiwán, Israel, México, Singapur y República Dominicana.

Los importadores tienden a subcontratar una gran parte de sus actividades de la

cadena de suministro y, como la parte en la transacción que usualmente tiene
influencia sobre sus socios comerciales, se recomienda que los importadores
traten las medidas de seguridad de la misma manera que tratan otros requisitos
contractuales, como Medidas de control de calidad y especificaciones de
embalaje. El cumplimiento de las normas de seguridad del importador se habilita
a través de los mecanismos existentes (contratos, órdenes de compra, etc.).
Cuando un Miembro tiene numerosas cadenas de suministro, las áreas de alto
riesgo son la prioridad.
Para aquellos socios comerciales que no estén en CTPAT o en un programa de
Operador Económico Autorizado en virtud de un Acuerdo de Reconocimiento
Mutuo con los Estados Unidos, el Miembro de CTPAT ejercerá la diligencia debida
para garantizar (cuando tenga el poder de hacerlo) que estos socios comerciales
cumplan con los requisitos. Los criterios de seguridad del programa que más se
relacionan con el rol del socio comercial en la cadena de suministro. Por ejemplo,
Cuando un Miembro de CTPAT subcontrata o contrata elementos de si un Miembro tiene un Operador de Carreteras que no es Miembro de CTPAT en
su cadena de suministro, debe ejercer la diligencia debida (mediante su cadena de suministro, el Importador puede proporcionar a este socio los
visitas, cuestionarios, etc.) para garantizar que estos socios criterios para los Transportistas de Carreteras.
Debe
comerciales tengan implementadas medidas de seguridad que
cumplan o superen el MSC (criterios minimos de seguridad) de
CTPAT.
 Cuando un Miembro de CTPAT subcontrata o contrata elementos de
su cadena de suministro, debe ejercer la diligencia debida (mediante
Debe visitas, cuestionarios, etc.) para garantizar que estos socios
comerciales tengan implementadas medidas de seguridad que
cumplan o superen el MSC (criterios minimos de seguridad) de
CTPAT.

Si la función del socio comercial no tiene una entidad CTPAT correspondiente,

como un almacén nacional / extranjero, los criterios centrales seguirían siendo
tales como los requisitos del socio comercial, la seguridad física (basada en el
riesgo), la ciberseguridad y la capacitación.
Además de proporcionar los criterios a su socio comercial, el Miembro se
asegurará de que el socio comercial entienda los criterios y lo que puede hacer
para cumplir con el MSC. Por lo tanto, también se puede proporcionar divulgación
y capacitación adicionales, si es necesario.
Determinar si un socio comercial cumple con el MSC se puede lograr de varias
maneras. Basándose en el riesgo, la empresa puede realizar una auditoría en el
sitio en la instalación, contratar a un contratista / proveedor de servicios para
llevar a cabo una auditoría en el sitio o usar un cuestionario de seguridad.

Si los cuestionarios de seguridad se utilizan para determinar el

cumplimiento de los socios comerciales con los requisitos de
seguridad de CTPAT, las respuestas al cuestionario deben ser
detalladas y, si es necesario, estar respaldadas por pruebas
documentales.
Los cuestionarios de seguridad utilizados para determinar y
documentar el cumplimiento de los criterios de seguridad del Debido a su papel en la cadena de suministro, algunas empresas pueden recibir
programa deben incluir lo siguiente:
numerosos cuestionarios. CTPAT no desea crear una carga indebida sobre estas
• Nombre y título de la persona (s) que lo completó; compañías; por lo tanto, los Miembros pueden ser flexibles en obtener la
Debe • Fecha de finalización; información necesaria. Por ejemplo, un cuestionario ya completado de otra
• Firma de la (s) persona (s) que completaron el documento; compañía puede ser aceptado, o un socio comercial puede proporcionar su
• Firma de un funcionario senior de la compañía, supervisor de
seguridad o representante autorizado de la compañía para confirmar propio documento que describe cómo cumple con los criterios de seguridad del
la exactitud del cuestionario; programa.
• Proporcionar suficientes detalles en las respuestas para determinar
el cumplimiento; y
• Si lo permiten los protocolos de seguridad locales, incluya evidencia
fotográfica, copias de políticas / procedimientos y copias de
formularios completos como listas de verificación de inspección de
instrumentos de tráfico internacional (IIT) y / o registros de guardias.

Si se identifican puntos débiles durante las autoevaluaciones de

seguridad de los socios comerciales, deben abordarse de inmediato y Las pruebas documentales pueden incluir copias de contratos para guardias de
Debe las correcciones deben implementarse de manera oportuna. Los seguridad adicionales, fotografías tomadas de una cámara de seguridad recién
miembros deben confirmar que las deficiencias se han mitigado a instalada o alarma de intrusión, etc.
través de pruebas documentales.

Las actualizaciones periódicas de la autoevaluación son importantes para

Sobre la base de un proceso documentado de evaluación de riesgos,
los miembros de CTPAT deben exigir a los socios comerciales que
Debería actualicen sus autoevaluaciones de seguridad de forma periódica o
según lo exijan las circunstancias y los riesgos.
garantizar que un programa de seguridad sólido aún esté funcionando y funcione
correctamente. Las circunstancias que pueden requerir que la autoevaluación se
actualice con mayor frecuencia incluyen un aumento del nivel de amenaza de un
país de origen, cambios en la ubicación de origen, nuevos socios comerciales
críticos (aquellos que realmente manejan la carga, brindan seguridad a una
instalación, etc.).
 Ciberseguridad

Se alienta a los miembros a seguir el Marco voluntario basado en el riesgo del

Los miembros de CTPAT deben contar con políticas y procedimientos gestionar
completos de ciberseguridad para proteger los sistemas de
Debe tecnología de la información (TI). La política de TI escrita, como
mínimo, debe cubrir todos los criterios de seguridad cibernética
individuales.
Instituto Nacional de Estándares y Tecnología para Mejorar la Ciberseguridad de
Infraestructuras Críticas (https://www.nist.gov/ cyberframework), un conjunto de
estándares de la industria y mejores prácticas que ayudan a las organizaciones a
los riesgos de ciberseguridad . Este marco proporciona un lenguaje
común para comprender, gestionar y expresar el riesgo de ciberseguridad tanto
interna como externamente. Puede usarse para ayudar a identificar y priorizar
acciones para reducir el riesgo de seguridad cibernética, y es una herramienta
para alinear los enfoques de políticas, negocios y tecnológicos para administrar
ese riesgo. El Marco complementa, pero no reemplaza, el proceso de
administración de riesgos y el programa de seguridad cibernética de una
organización. Alternativamente, una organización sin un programa de
ciberseguridad existente puede usar el Marco como referencia para establecer
uno.

Para defender los sistemas de tecnología de la información (TI) contra

las amenazas de ciberseguridad comunes, una empresa debe instalar
suficiente protección de software / hardware contra malware (virus,
spyware, gusanos, troyanos, etc.) e intrusión interna / externa
(firewalls) en los sistemas informáticos de los Miembros. Los
miembros deben asegurarse de que su software de seguridad esté
Debe actualizado y reciba actualizaciones de seguridad periódicas. Los
miembros deben tener políticas y procedimientos para prevenir
ataques a través de la ingeniería social. Si se produce una violación
de datos u otro evento invisible se traduce en la pérdida de datos y /
o equipos, los procedimientos deben incluir la recuperación (o
reemplazo) de los sistemas y / o datos de TI.

Los miembros de CTPAT que utilizan sistemas de red deben probar
Debe regularmente la seguridad de su infraestructura de TI. Si se
encuentran vulnerabilidades, las acciones correctivas deben
implementarse tan pronto como sea posible.
Asegurarse de que la red de una empresa sea segura es una tarea muy
importante, y se recomienda programarla regularmente. Esto se puede hacer
mediante exploraciones de vulnerabilidad y pruebas de penetración. Un análisis
de vulnerabilidad identifica puertos abiertos y direcciones IP en uso, así como
sistemas operativos y software. Luego comparará lo que ha descubierto con su
base de datos de vulnerabilidades conocidas e informará al respecto. Hay muchas
versiones gratuitas y de pago de escáneres de vulnerabilidad disponibles. La
prueba de penetración, por otro lado, es cuando se explotan las vulnerabilidades
existentes para ver cuánta amenaza representan para la red..

Se alienta a los miembros a compartir información sobre amenazas de

Las políticas de seguridad cibernética deben abordar cómo un
Debería Miembro comparte información sobre amenazas de seguridad
cibernética con el Gobierno y otros socios comerciales.
ciberseguridad con el gobierno y socios comerciales dentro de su cadena de
suministro. El intercambio de información es una parte clave de la misión del
Departamento de Seguridad Nacional de crear una conciencia compartida de la
situación de la actividad cibernética maliciosa. Los miembros de CTPAT pueden
querer unirse al Centro Nacional de Integración de Comunicaciones y Seguridad
Cibernética (NCCIC - https://www.us-cert.gov/nccic). El NCCIC comparte
información entre socios del sector público y privado para crear conciencia sobre
las vulnerabilidades, incidentes y mitigaciones. Los usuarios de sistemas de
control industrial y cibernético pueden suscribirse a productos de información,
feeds y servicios sin costo alguno.

Debe existir un sistema para identificar el acceso no autorizado de los

sistemas / datos de TI o el abuso de políticas y procedimientos,
incluido el acceso incorrecto de los sistemas internos o sitios web
Debe externos y la manipulación o alteración de los datos comerciales por
parte de empleados o contratistas. Todos los infractores deben estar
sujetos a las medidas disciplinarias apropiadas.
 Las políticas y procedimientos de ciberseguridad deben revisarse y Un ejemplo de una circunstancia que dictaría una actualización de la política
Debe actualizarse anualmente, o con mayor frecuencia, según lo exijan los antes de cada año es un ataque cibernético. Utilizar las lecciones aprendidas del
riesgos o las circunstancias. ataque ayudaría a fortalecer la política de seguridad cibernética de un Miembro.

El acceso del usuario debe estar restringido según la descripción del

trabajo o las tareas asignadas. El acceso autorizado debe revisarse
Debe periódicamente para garantizar que el acceso a sistemas sensibles se
base en los requisitos del trabajo. El acceso a la computadora y la red
se debe eliminar al separar a los empleados.

Las contraseñas o frases de acceso complejas de inicio de sesión, las tecnologías

biométricas y las tarjetas de identificación electrónica son tres tipos diferentes de
procesos de autenticación. Se prefiere el uso de un proceso de autenticación de
dos factores (2FA) o de autenticación multifactor (MFA). Los MFA pueden ayudar
Las personas con acceso a los sistemas de tecnología de la a cerrar las intrusiones de red explotadas por contraseñas débiles o credenciales
información (TI) deben usar cuentas asignadas individualmente. El robadas. MFA puede ayudar a cerrar estos vectores de ataque al exigir que las
Debe acceso a los sistemas de TI debe estar protegido contra la infiltración personas aumenten las contraseñas o frases de contraseña (algo que usted sabe)
mediante el uso de contraseñas seguras, frases de contraseña u otras con algo que tenga, como un token, o una de sus características físicas, una
formas de autenticación y el acceso del usuario a los sistemas de TI biométrica. Se recomienda que si se utiliza una contraseña, sea complejo. La
debe estar protegido. publicación especial NIST 800-63-3 del Instituto Nacional de Estándares y
Tecnología (NIST): Pautas de identidad digital, incluye pautas de contraseña. Se
recomienda el uso de frases de contraseña largas y fáciles de recordar en lugar de
palabras con caracteres especiales. Estas frases de contraseña más largas se
consideran mucho más difíciles de descifrar.

Los miembros que permiten a sus usuarios conectarse de forma Una VPN es una red virtual, construida sobre redes físicas existentes que pueden
remota a una red deben emplear tecnologías seguras, como las redes proporcionar un mecanismo de comunicaciones seguro para datos e información
privadas virtuales (VPN), para permitir que los empleados accedan de de control transmitida entre redes. Las VPN se utilizan con mayor frecuencia para
Debe forma segura a la intranet de la empresa cuando se encuentran fuera proteger las comunicaciones que se transmiten a través de redes públicas como
de la oficina. Los miembros también deben tener procedimientos Internet. Una VPN puede proporcionar varios tipos de protección de datos,
diseñados para asegurar el acceso remoto de usuarios no incluida la confidencialidad, integridad, autenticación de origen de datos,
autorizados. protección de reproducción y control de acceso.

Si los miembros permiten que los empleados utilicen dispositivos
personales para realizar el trabajo de la empresa, todos los
dispositivos deben cumplir con las políticas y procedimientos de
Debería
seguridad cibernética de la compañía para incluir actualizaciones de
seguridad periódicas y un método para acceder de forma segura a la
red de la empresa.
Los dispositivos personales incluyen medios de almacenamiento como CD, DVD y
unidades flash USB. Se tendrá cuidado si los empleados pueden conectar sus
medios personales a sistemas individuales, ya que estos dispositivos de
almacenamiento de datos pueden estar infectados con malware que podría
propagarse utilizando la red de la empresa.

Las políticas y procedimientos de ciberseguridad deben incluir
Debería medidas para evitar el uso de productos tecnológicos falsificados o
con licencia indebida.
Los datos se deben respaldar una vez a la semana o según
corresponda. Todos los datos sensibles y confidenciales deben Es posible que los dispositivos utilizados para realizar copias de seguridad de los
Debería almacenarse en un formato cifrado. Los medios utilizados para
almacenar copias de seguridad deben almacenarse preferiblemente datos no estén en la misma red que la utilizada para el trabajo de producción.
en una instalación fuera del sitio.
Todos los medios, hardware u otro equipo de TI deben contabilizarse
a través de inventarios regulares. Cuando se eliminan, deben
Debe desinfectarse y / o destruirse adecuadamente de acuerdo con las
Directrices del Instituto Nacional de Estándares y Tecnología (NIST) medios (Publicación especial 800-88 del NIST).
para la desinfección de medios u otras pautas apropiadas de la
industria.
El software informático es propiedad intelectual (IP) propiedad de la entidad que
lo creó. Sin el permiso expreso del fabricante o editor, es ilegal instalar software,
sin importar cómo se adquiera. Ese permiso casi siempre toma la forma de una
licencia del editor, que acompaña a las copias autorizadas del software. El
software sin licencia es más probable que falle como resultado de una
incapacidad para actualizar. Es más propenso a contener malware, hacer que las
computadoras y su información sean inútiles. No espere garantías o soporte para
software sin licencia, dejando a su empresa por sí sola para hacer frente a los
fallos. También hay consecuencias legales para el software sin licencia, incluidas
las penas civiles severas y el enjuiciamiento penal. Los piratas de software
aumentan los costos para los usuarios de software legítimo y autorizado y
disminuyen el capital disponible para invertir en investigación y desarrollo de
software nuevo.
Es posible que los miembros deseen tener una política que requiera que se
mantengan las Etiquetas de las Claves del Producto y los Certificados de
Autenticidad cuando se compran nuevos medios. Los CD, DVD y medios USB
incluyen características de seguridad holográficas para garantizar que reciba
productos auténticos y para protegerlos contra la falsificación.
Los miembros pueden consultar las Pautas del NIST para la desinfección de
 Seguridad de transporte
Debe/Debería Criterio Guía de implementación Se realiza N/A Departamento reponsable Observaciones y/o evidencias
Transporte y seguridad en instrumentos de tráfico internacional

Los transportes e instrumentos de tráfico internacional (IIT) deben

Debe almacenarse (en todo momento) en un área segura para evitar
accesos y / o manipulaciones no autorizados.

Antes de cargar / rellenar / empacar, todos los medios de transporte

e instrumentos vacíos de tráfico internacional (IIT, por sus siglas en
inglés) deben someterse a una seguridad aprobada por el CTPAT y
han sido modificados para ocultar el contrabando o han sido
contaminados con plagas agrícolas.
Se debe realizar una inspección de siete puntos en todos los
contenedores vacíos y dispositivos de carga unitaria (ULD), y una
inspección de ocho puntos en todos los contenedores refrigerados
vacíos y ULDs antes de cargar / rellenar para incluir:
1. pared frontal
2. lado izquierdo
3. lado derecho
4. piso
5. Techo / Techo
6. Puertas interiores / exteriores, incluida la fiabilidad de los
mecanismos de cierre de las puertas.
7. Fuera / tren de rodaje
8. Caja del ventilador en contenedores refrigerados.

El programa ha cargado material de capacitación en la Sección de Bibliotecas

Públicas del Portal CTPAT sobre seguridad e inspecciones de transporte agrícola /
ITT, incluido un USDA-EE. UU. La presentación de Aduanas y Protección Fronteriza
en formato PDF llamada "Contaminación del transporte de transporte". Se
Debe Las inspecciones de transportes e IIT deben ser sistemáticas y deben cargará una nueva versión de esta presentación en el otoño de este año. Esta
llevarse a cabo en los almacenes de almacenamiento de transportes. presentación describe cómo se pueden introducir varios tipos de contaminantes
Cuando sea posible, las inspecciones deben realizarse al entrar y salir por medios de transporte, los motivos de preocupación, los esfuerzos de Aduanas
de los patios de almacenamiento y en el punto de carga / relleno. y Protección Fronteriza de los Estados Unidos para prevenir la introducción de
Estas inspecciones sistemáticas deben incluir: especies invasoras, y las mejores prácticas para que la industria evite la
Tractores contaminación por transporte.
1. Parachoques / neumáticos / llantas
2. Puertas, compartimentos de herramientas y mecanismos de cierre.
3. caja de la batería
4. respirador de aire
5. Depósitos de combustible.
6. Compartimientos interiores de la cabina / cama
7. Techo

Remolques
1. Área de la quinta rueda: compruebe el compartimiento natural / la
placa de deslizamiento
2. Exterior - frontal / laterales
3. Trasero - parachoques / puertas
4. pared frontal
5. lado izquierdo
6. lado derecho
7. piso
8. Techo
9. Puertas interiores / exteriores y mecanismos de cierre.
10. Fuera / tren de rodaje
 Los transportes y el IIT deben estar equipados con el tipo correcto de
hardware externo que pueda resistir razonablemente los intentos de
retirarlo, lo que permitiría quitar las puertas sin romper el sello y
permitir el acceso a la carga y / o al interior del IIT. La puerta, las
Debe manijas, las varillas, los cierres, los remaches, los soportes y todas las
demás partes del mecanismo de bloqueo de un contenedor deben
inspeccionarse por completo para detectar alteraciones y cualquier
inconsistencia de hardware antes de la fijación de cualquier
dispositivo de sellado.

La inspección de todos los medios de transporte y los instrumentos

vacíos de tráfico internacional (IIT) deben registrarse en una lista de
verificación. Los siguientes elementos deben estar documentados en
la lista de verificación:
• Número de contenedor / remolque / IIT;
Debe • Fecha de inspección;
• Tiempo de inspección;
• Nombre del empleado que realiza la inspección; y
• Áreas específicas del IIT que fueron inspeccionadas.
Si las inspecciones son supervisadas, el supervisor también debe
firmar la lista de verificación.

Todas las inspecciones de seguridad deben realizarse en un área de

Debería acceso controlado y, si está disponible, monitorearse a través de
cámaras.

En función del riesgo, el personal de administración debe realizar

búsquedas aleatorias de los medios de transporte una vez que el
personal de transporte haya realizado las inspecciones de
transporte / instrumentos de tráfico internacional (IIT).
Las búsquedas del transporte deben hacerse periódicamente, con
Debería una mayor frecuencia en función del riesgo. Las búsquedas deben
realizarse al azar sin previo aviso, para que no sean predecibles. Las
inspecciones deben llevarse a cabo en varios lugares donde el
transporte sea susceptible: el patio del transportista, después de que
se haya cargado el camión y en ruta hacia la frontera de los Estados
Unidos.
Se realizan búsquedas de supervisión de los medios de transporte para
contrarrestar las conspiraciones internas. Como práctica recomendada, los
supervisores pueden ocultar un elemento (como un juguete o una caja de color)
en el transporte para determinar si el operador de detección / transporte de
prueba de campo lo encuentra.
El personal de supervisión podría ser un gerente de seguridad, responsabilizado
ante la alta gerencia por la seguridad u otro personal de administración
designado.

Los miembros de CTPAT deben trabajar con sus proveedores de

transporte para rastrear los medios de transporte desde el origen
hasta el punto de destino final. Los requisitos específicos para el
Debería seguimiento, la generación de informes y el intercambio de datos
deben incorporarse en los términos de los acuerdos de servicio con
los proveedores de servicios.

Para los envíos en la frontera terrestre que se encuentran cerca de la La carga en reposo es la carga en riesgo. Se recomienda evitar paradas
Debería frontera de los Estados Unidos, se debe implementar una política de innecesarias para los envíos que están cerca de la frontera de los Estados Unidos.
"no parar".
 Sello de seguridad

Los miembros de CTPAT deben contar con procedimientos detallados

de sellos de alta seguridad que describan cómo se emiten y controlan
los sellos en las instalaciones y durante el tránsito. Los protocolos
escritos deben proporcionar los pasos a seguir si se descubre que un
sello está alterado, manipulado o tiene el número de sello incorrecto
para incluir la documentación del evento, los protocolos de
comunicación con los socios y la investigación del incidente. Los
hallazgos de la investigación deben registrarse en un informe y las
acciones correctivas deben implementarse lo más rápido posible.
Cuando el Transportista o la instalación es un componente de una
entidad más grande, los procedimientos escritos deben mantenerse a
nivel de terminal / local. Los procedimientos deben ser revisados al
menos una vez al año.
Los controles escritos del sello deben incluir los siguientes
elementos:

Control de acceso a los sellos

• La gestión de sellos está restringida a personal autorizado.
• Almacenamiento seguro. Inventario, distribución y seguimiento
(Registro de sello)
Debe • Grabación del recibo de nuevos precintos.
• Emisión de sellos registrados en el registro. Seguir los sellos a
través del registro.
• Solo el personal capacitado y autorizado puede colocar sellos en el
IIT. Control de sellos en tránsito
• Asegúrese de que los IIT empaquetados estén sellados. Sellos rotos
en tránsito
• Si se examina la carga, anote el número del sello de reemplazo
• El conductor (o empleado pertinente) debe notificar
inmediatamente el envío (o el personal correspondiente) cuando se
rompe un sello, indicar quién lo rompió y proporcionar el nuevo
número de sello.
• El transportista debe notificar de inmediato al remitente, al agente
y al importador el cambio del sello y el número de sello de
reemplazo.

• El remitente debe anotar el número del sello de reemplazo en el

registro del sello. Sellar discrepancias
• Mantenga cualquier sello que se descubra alterado o manipulado
para ayudar en la investigación.
• Investigar la discrepancia; Seguimiento con medidas correctivas (si
está justificado).
• Según corresponda, informe sobre los sellos comprometidos a las
Aduanas y Protección Fronteriza de los EE. UU. Y al gobierno
extranjero apropiado para ayudar en la investigación.
 Todos los envíos de CTPAT que pueden sellarse deben asegurarse
inmediatamente después de que el responsable y / o el enviador o
empacador actúen en nombre de los remitentes con un sello de alta
seguridad que cumpla o supere la más reciente Organización
Internacional de Normalización (ISO). Norma 17712 para juntas de
alta seguridad. Los sellos de perno y cable que califican son
aceptables. Todos los sellos utilizados deben colocarse de manera
segura y adecuada en el IIT que transporta la carga de los miembros
de CTPAT a / desde los Estados Unidos.
Si se usa un sello de cable, debe cubrir los cubos de las manijas de las
dos barras verticales centrales en las puertas del contenedor /
remolque para evitar el movimiento hacia arriba o hacia abajo del
cable. Debe retirarse todo el exceso de cable que queda después de
haber apretado el sello y asegurado al contenedor / remolque.
Si se utiliza un sello de perno de alta seguridad, el sello debe
colocarse en la posición de la cámara segura.

Debe

Alternativamente, el sello del perno podría colocarse en la manija de

bloqueo central / izquierda en la puerta derecha del contenedor si la
posición segura de la leva no está disponible. Siempre que sea
posible, se recomienda que el sello del perno se coloque con la parte
del cañón o el inserto mirando hacia arriba con la parte del cañón por
encima del cerrojo.
Cualquier IIT empacado que pueda sellarse debe estar sellado.
Algunos IIT empacados no se pueden sellar, como los remolques de
plataforma, y otros transportes pueden variar con ciertos tipos que
se pueden sellar y otros que no. Si un contenedor de tanque tiene
aberturas que pueden sellarse, deben sellarse, y la parte que llena el
contenedor es responsable de sellarlo. Cuando la carga se transporta
a través de contenedores de carga aéreos sellables / IIT como
dispositivos de carga de unidades (ULD), se deben usar sellos de alta
seguridad.

Para cargas comerciales o medios de transporte no adecuados para
sellar con un sello de alta seguridad, los miembros de CTPAT deben
Debe demostrar cómo garantizan la integridad de su carga mientras están
en tránsito.
Describa las medidas vigentes para garantizar que las cargas a granel o abiertas,
los remolques de volteo, los tractores, los remolques de furgonetas abiertas, las
plataformas de escalones, las plataformas planas, los remolques para ganado y
otros tipos de remolques abiertos o cargas de gran tamaño (donde un sello no
impida el acceso) sean asegurado durante el tránsito

Una prueba aceptable de cumplimiento es una copia de un certificado de pruebas

Los miembros de CTPAT deben poder documentar que los sellos de
de laboratorio que demuestra el cumplimiento con el estándar de alta seguridad
Debe alta seguridad que utilizan cumplen o superan la norma ISO 17712 ISO. Los miembros de CTPAT también estarán al tanto de las características
más actual.
indicativas de manipulación de los sellos que compran.
 La gerencia de la compañía o un supervisor de seguridad deben
realizar auditorías de sellos que incluyan un inventario periódico de
sellos almacenados y una conciliación contra registros de inventario
de sellos y documentos de envío. Todas las auditorias deben estar
Debe documentadas.
Como parte del proceso general de auditoría de sellos, los
supervisores de muelles y / o los gerentes de almacén deben verificar
periódicamente los números de sellos utilizados en los medios de
transporte y el IIT.

Se debe seguir el proceso de verificación del sello de CTPAT para

garantizar que todos los sellos de alta seguridad (perno / cable) se
hayan colocado correctamente en el IIT y estén funcionando según lo
diseñado. El procedimiento se conoce como el proceso VVTT:
V - Ver mecanismos de cierre de sellado y contenedor; asegúrese de
Debe que estén bien;
V - Verifique el número de sello con los documentos de envío para
verificar su exactitud;
T - Tire del sello para asegurarse de que esté bien colocado;
T - Gire y gire el sello del perno para asegurarse de que sus
componentes no se desatornillan ni se separan entre sí.
 Seguridad procesal

Todos los procedimientos de seguridad están sujetos a auditorías. Se recomienda

que se realice una auditoría general periódicamente. Las áreas especializadas que
son clave para la seguridad de la cadena de suministro, como las inspecciones y
Los miembros deben tener procesos escritos para revisar sus los controles de sellos, pueden someterse a auditorías específicas de esas áreas.
Debe procedimientos de seguridad.
Por ejemplo, para garantizar el pleno cumplimiento de los procedimientos de
inspección CTPAT, la administración puede realizar (y documentar) revisiones
periódicas de los procesos de inspección de transporte y IIT.

Cuando la carga se lleva a cabo durante la noche, o por un período

prolongado de tiempo, se deben tomar medidas para asegurar la
Debe carga del acceso no autorizado.
Se deben implementar procedimientos para separar y asegurar la
carga nacional de la carga internacional en almacenes o áreas de
preestacionamiento.

Las áreas de almacenamiento de carga, y las áreas circundantes Se pueden utilizar medidas preventivas, como el uso de cebos, trampas u otras
inmediatas, deben ser inspeccionadas regularmente para asegurar barreras, según sea necesario. La eliminación de malezas o la reducción de la
Debe que estas áreas permanezcan libres de contaminación de plagas vegetación en exceso puede ayudar a eliminar el hábitat de la plaga dentro de las
visibles. áreas de concentración.

La carga de la carga en contenedores / IIT debe ser supervisada por

Debería un oficial de seguridad / gerente u otro personal designado.

Como evidencia documentada del sello correctamente instalado, las La evidencia fotográfica puede incluir imágenes tomadas en el punto de relleno
fotografías digitales deben tomarse en el punto de relleno. En la
Debería para documentar la evidencia de las marcas de carga, el proceso de carga, la
medida de lo posible, estas imágenes deben enviarse
ubicación donde se colocó el sello y el sello instalado correctamente.
electrónicamente al destino para fines de verificación.

Se deben establecer procedimientos para garantizar que toda la

información utilizada en el despacho de la mercancía / carga sea
Debe legible, completa, precisa, protegida contra el intercambio, la pérdida
o la introducción de información errónea, y se informe a tiempo.

La carga debe estar debidamente marcada y manifestada para incluir

el peso exacto y el recuento de piezas. Para los contenedores
Debe sellados, los Transportistas pueden confiar en la información
proporcionada en las instrucciones de envío del remitente.

Si se utiliza papel, los formularios y otra documentación relacionada Se pueden tomar medidas, como el uso de un archivador cerrado, para asegurar
Debería con la importación / exportación deben protegerse para evitar el uso el almacenamiento de formularios no utilizados, incluidos los manifiestos, para
no autorizado. evitar el uso no autorizado de dicha documentación.
 Los procedimientos de conocimiento de embarque / manifestación
deben garantizar que la información en el manifiesto de carga del
Transportista refleje con precisión la información provista al
Transportista por el remitente o su agente, y se presente en Aduanas
Debe y Protección Fronteriza de los EE. UU. De manera oportuna. La
información del conocimiento de embarque presentada en la Oficina
de Aduanas y Protección Fronteriza de los EE. UU. Debe mostrar la
primera ubicación / instalación extranjera donde el Transportista
toma posesión de la carga con destino a los Estados Unidos.

En todos los puntos de llenado / carga del contenedor, la hoja de
inspección del contenedor / IIT completado debe ser parte del
Debería paquete de documentación de envío. El destinatario debe recibir el
paquete completo de documentación de envío antes de recibir la
mercancía.
La hoja de inspección del contenedor extraño se puede proporcionar al muelle de
recepción antes de la llegada del contenedor, por lo que puede ser utilizada por el
personal de recepción del muelle para determinar si se produjo una manipulación
indebida del sello / IIT.

El personal debe revisar la información incluida en los documentos

de importación / exportación para identificar o reconocer los envíos
de carga sospechosos. El personal relevante debe recibir capacitación
sobre cómo identificar la información en los documentos de envío,
como los manifiestos, que podrían indicar un envío sospechoso.
Como recurso y basado en el riesgo, los miembros de CTPAT deben
tener en cuenta los indicadores de advertencia clave de CTPAT para
actividades de lavado de dinero y financiamiento del terrorismo más
Debe aplicables a las funciones que ellos y / o su entidad comercial
desempeñan en la cadena de suministro. El personal de Carreteras
debe estar capacitado para revisar los manifiestos y otros
documentos con el fin de identificar o reconocer los envíos de carga
sospechosos, tales como:
• Originado o destinado a lugares inusuales;
• Pagado en efectivo o con un cheque certificado;
• Usar métodos de enrutamiento inusuales;
 Los miembros de CTPAT deben contar con procedimientos escritos
para informar un incidente para incluir una descripción del proceso
de escalamiento interno de la instalación. Debe existir un protocolo
Los ejemplos de incidentes que justifican la notificación a los Estados Unidos de
de notificación para informar sobre cualquier actividad sospechosa o
Aduanas y Protección Fronteriza incluyen (pero no se limitan a) lo siguiente:
incidentes de seguridad que puedan afectar la seguridad de la • Descubrimiento de manipulación con un contenedor / IIT o sello de alta
cadena de suministro del Miembro. Según corresponda, el Miembro seguridad;
debe informar un incidente a su SCSS, al Puerto de Entrada más
• Se ha aplicado un nuevo sello no contabilizado a un IIT;
cercano, a las agencias de aplicación de la ley pertinentes y a los
socios comerciales que puedan formar parte de la cadena de • Contrabando de contrabando para incluir personas; polizones
Debe • Entrada no autorizada en medios de transporte, locomotoras, embarcaciones o
suministro afectada. Las notificaciones deben hacerse tan pronto
portaaviones;
como sea posible. • Extorsión, pagos por protección, amenazas y / o intimidación;
Los procedimientos de notificación deben incluir la información de • El uso no autorizado de un identificador de entidad comercial (es decir, el
contacto precisa que enumera el (los) nombre (s) y número (s) de
número del Importador de Registro (IOR), el código de Alfa de Transportista
teléfono del personal que requiere la notificación, así como para las
agencias de cumplimiento de la ley. Los procedimientos deben Estándar (SCAC), etc.).
revisarse periódicamente para garantizar que la información de
contacto sea precisa.

Se deben establecer procedimientos para identificar, cuestionar y

abordar a personas no autorizadas / no identificadas. El personal
debe conocer el protocolo para desafiar a una persona desconocida /
Debe no autorizada, cómo responder a la situación y estar familiarizado
con el procedimiento para retirar a una persona no autorizada de las
instalaciones.

Los problemas internos, como el robo, el fraude y las conspiraciones internas,

pueden informarse más fácilmente si la parte informante sabe que la inquietud
Los miembros de CTPAT deben establecer un mecanismo para puede informarse de forma anónima.
Debería reportar problemas relacionados con la seguridad de forma anónima. Los miembros pueden configurar un programa de línea directa o un mecanismo
Cuando se recibe una denuncia, se debe investigar y, si corresponde, similar que permita a las personas permanecer en el anonimato si temen
se deben tomar medidas correctivas. represalias por sus acciones. Se recomienda que cualquier informe se guarde
como evidencia para documentar que cada artículo reportado fue investigado y
que se tomaron acciones correctivas.

Todas las carencias, excesos y otras discrepancias o anomalías

Debe importantes deben investigarse y resolverse, según corresponda.

La carga que llega debe conciliarse con la información del manifiesto

Debería de carga. La carga de salida debe verificarse contra pedidos de
compra o entrega.

Los números de sello asignados a envíos específicos deben

Debería transmitirse al destinatario antes de la salida.

Los números de sello deben imprimirse electrónicamente en el

Debería conocimiento de embarque u otros documentos de envío.

Los miembros de CTPAT deben tener procedimientos escritos
diseñados para prevenir la contaminación de plagas para incluir el
cumplimiento con las regulaciones de los Materiales de embalaje de de
madera (WPM). Las medidas de prevención de plagas deben
Debe
respetarse en toda la cadena de suministro. Las medidas relacionadas Unidas
con WPM deben cumplir con las Normas Internacionales para
Medidas Fitosanitarias No. 15 de la Convención Internacional de
Protección Fitosanitaria (CIPF) (NIMF 15)
Seguridad agrícola.
WPM se define como madera o productos de madera (excluyendo productos de
papel) utilizados para respaldar, proteger o transportar un producto. WPM incluye
elementos tales como paletas, cajas, cajas, carretes y estiba. Con frecuencia, estos
artículos están hechos de madera en bruto que puede no haber sido procesada o
tratada lo suficiente como para eliminar o matar plagas, y por lo tanto, siguen
siendo una vía para la introducción y propagación de plagas. En particular, se ha
demostrado que el vaciado presenta un alto riesgo de introducción y propagación
plagas.
La CIPF es un tratado multilateral supervisado por la Organización de las Naciones
para la Agricultura y la Alimentación que tiene como objetivo garantizar
una acción coordinada y efectiva para prevenir y controlar la introducción y
propagación de plagas y contaminantes. La NIMF 15 incluye medidas aceptadas
internacionalmente que pueden aplicarse a WPM para reducir significativamente
el riesgo de introducción y propagación de la mayoría de las plagas que pueden
estar asociadas con WPM. La NIMF 15 afecta a todo el material de embalaje de
madera que requiere que se descortece y luego se trate con calor o se fume con
bromuro de metilo y se estampe o marque con la marca de cumplimiento de la
CIPF. Esta marca de cumplimiento se conoce coloquialmente como la "estampa de
trigo".
 Seguridad fisica y personal
Debe/Debería Criterio Guía de implementación Se realiza N/A Departamento responsable Observaciones y/o evidencias
Seguridad física
Todas las instalaciones de manejo y almacenamiento de carga,
incluidos los patios de remolques y las oficinas, deben tener barreras
Debería físicas y / o elementos disuasorios que impidan el acceso no
autorizado.

Las cercas perimetrales deben cubrir las áreas alrededor de las

instalaciones de manejo y almacenamiento de carga. Si una
instalación maneja carga, se deben usar cercos interiores para
asegurar la carga y las áreas de manejo de carga. Según el riesgo, las Se pueden usar otras barreras aceptables en lugar de cercas, como una pared
cercas interiores adicionales deben segregar varios tipos de carga,
Debería como materiales domésticos, internacionales, de alto valor y / o divisoria o características naturales que son impenetrables o que impiden el
peligrosos. acceso, como un acantilado escarpado o matorrales densos, etc.
Las cercas deben ser inspeccionadas regularmente por el personal
designado para verificar su integridad y daños. Si se encuentran
daños en la cerca, las reparaciones se deben hacer lo antes posible.

Las puertas por donde ingresan o salen los vehículos y / o el personal

Se recomienda que el número de puertas se mantenga al mínimo necesario para
(así como otros puntos de egreso) deben ser monitoreadas o
Debe vigiladas. Las personas y los vehículos pueden estar sujetos a registro el acceso y la seguridad adecuados. Otros puntos de salida serían entradas a
de acuerdo con las leyes locales y laborales. instalaciones que no están cerradas.

Para minimizar el riesgo de que la carga sea robada o comprometida, ubique las
Debe Se debe prohibir que los vehículos de pasajeros privados estacionen áreas de estacionamiento fuera de las áreas operativas de la cerca o al menos a
en áreas de manejo y almacenamiento de carga o adyacentes a ellas. distancias sustanciales de las áreas de manejo y almacenamiento de la carga.

Se debe proporcionar iluminación adecuada dentro y fuera de las

Los temporizadores automáticos o los sensores de luz que encienden
instalaciones, incluidas las siguientes áreas: entradas y salidas, áreas
Debe de manejo y almacenamiento de carga, cercas y áreas de automáticamente las luces de seguridad apropiadas son adiciones útiles a los
estacionamiento. aparatos de iluminación.
 Los miembros que confían en las tecnologías de seguridad para la
seguridad física deben tener políticas y procedimientos escritos que
rijan el uso, mantenimiento y protección de la tecnología de
seguridad.
Estas políticas deben incluir lo siguiente:
• Limite el acceso a las ubicaciones de controles / hardware para
dispositivos de seguridad;
• Procedimientos para probar / inspeccionar la tecnología
regularmente;
• Las inspecciones incluyen la verificación de que el equipo está
colocado correctamente y / o funciona correctamente;
• Documentar los resultados de las inspecciones y pruebas de
rendimiento;
• Si las acciones correctivas están justificadas, implemente y
documente las acciones tomadas;

La tecnología de seguridad utilizada para proteger áreas sensibles / puntos de

Debe acceso incluye alarmas, dispositivos de control de acceso y sistemas de video
vigilancia.

• Los resultados documentados deben mantenerse durante un

tiempo suficiente para fines de auditoría.
Si se utilizan recursos de monitoreo de seguridad de terceros (fuera
del sitio), se deben establecer acuerdos escritos que estipulen la
funcionalidad de los sistemas críticos y los protocolos de
autenticación, tales como (pero no limitados a) cambios en el código
de seguridad, adición o sustracción de personal autorizado,
revisiones de contraseña , y sistemas de acceso o denegación (es).
Las políticas y procedimientos de tecnología de seguridad deben
revisarse y actualizarse anualmente, o con mayor frecuencia, según lo
exijan los riesgos o las circunstancias.

La tecnología de seguridad de hoy es compleja y evoluciona rápidamente. Los

sistemas de seguridad y de alarma contra incendios suelen ser la primera línea de
defensa contra el robo. Muchas veces las empresas compran el tipo incorrecto de
tecnología de seguridad que resulta ser ineficaz cuando es necesario y / o paga
más de lo necesario. Buscar orientación calificada ayudará al comprador a
Los miembros de CTPAT deben utilizar recursos con licencia / seleccionar las opciones de tecnología adecuadas para sus necesidades y
Debería certificados al considerar el diseño e instalación de tecnología de presupuesto. Es importante hacer negocios con personas que tienen un historial
seguridad de integraciones exitosas con este tipo de tecnología. Prácticamente todas las
certificaciones se otorgan, al menos en parte, en algún tipo de licencia de la
autoridad reguladora. Según la Asociación Nacional de Contratistas Eléctricos
(NECA), en los Estados Unidos, 33 estados tienen actualmente requisitos de
licencia para profesionales que participan en la instalación de sistemas de
seguridad y alarma.

La infraestructura de tecnología de seguridad incluye computadoras, software de

Debe Toda la infraestructura de tecnología de seguridad debe estar seguridad, paneles de control electrónico, cámaras de televisión de vigilancia o de
físicamente protegida contra accesos no autorizados. circuito cerrado, componentes de alimentación y disco duro para cámaras, así
como grabaciones.
 Un criminal que intente violar su seguridad puede intentar desactivar la energía
de su tecnología de seguridad para circunnavegar su tecnología de seguridad. Por
Los sistemas de tecnología de seguridad deben configurarse con una lo tanto, es importante tener una fuente de energía alternativa para su tecnología
Debería fuente de energía alternativa que permita que los sistemas continúen de seguridad. Una fuente de alimentación alternativa puede ser una fuente de
funcionando en caso de una pérdida inesperada de energía directa. generación de energía auxiliar o baterías de respaldo. Los generadores de energía
de respaldo también se pueden usar para otros sistemas críticos como la
iluminación
 Si se implementan sistemas de cámaras, las cámaras deben
monitorear las instalaciones de las instalaciones y las áreas sensibles
Debería para impedir el acceso no autorizado. Las alarmas deben usarse para
alertar a una empresa sobre el acceso no autorizado a áreas
sensibles.
Las áreas sensibles para los importadores y sus socios comerciales incluyen las
áreas de manejo y almacenamiento de carga, las áreas de envío / recepción
donde se guardan los documentos de importación, los servidores de TI, los patios
y las áreas de almacenamiento para el IIT, las áreas donde se inspecciona el IIT y
el sellado de áreas de almacenamiento.

Colocar las cámaras correctamente es importante para permitirles registrar la

Si se implementan sistemas de cámaras, estas deben ubicarse para mayor cantidad posible de la "cadena de custodia" física dentro del control de las
Debe cubrir áreas clave de las instalaciones que pertenecen al proceso de instalaciones. Las áreas específicas de enfoque de seguridad incluirían actividades
importación / exportación. de manejo de carga, inspecciones de contenedores, proceso de carga, proceso de
sellado, llegada / salida de transporte, carga y salida.

Una falla en los sistemas de videovigilancia podría ser el resultado de que alguien
Si se implementan sistemas de cámaras, las cámaras deben tener una deshabilite el sistema para romper una cadena de suministro sin dejar evidencia
Debería función de alarma / notificación, lo que indicaría una condición de de video del crimen. La función de falla de funcionamiento puede resultar en una
"falla de operación / grabación". notificación electrónica enviada a una persona (s) designada previamente que les
notifica que el dispositivo requiere atención inmediata.

Si se implementan sistemas de cámaras, las cámaras deben

Debería programarse para grabar con la configuración de calidad de imagen
más alta que esté razonablemente disponible, y configurarse para
grabar 24/7.

La revisión de las imágenes está orientada principalmente hacia la cadena de

custodia física para garantizar que el envío permanezca seguro. Algunos ejemplos
de los procesos que se pueden incluir en la revisión son las actividades de manejo
de carga, las inspecciones de contenedores, el proceso de carga, el proceso de
sellado, la llegada / salida de transporte y la salida de carga, etc.
Propósito de la Revisión:
El propósito de la (s) revisión (es) es evaluar la adherencia general y la efectividad
Deben realizarse revisiones aleatorias periódicas de las imágenes de de los procesos de seguridad establecidos, identificar brechas o debilidades
la cámara (por parte de la gerencia, seguridad u otro personal percibidas y proscribir las acciones correctivas en apoyo de la mejora de los
designado) para verificar que los procedimientos de seguridad de la procesos de seguridad.
Debe carga se están siguiendo correctamente. Los resultados de las Resumen escrito:
revisiones deben resumirse por escrito para incluir cualquier acción El resumen de la revisión puede incluir la fecha de la revisión, la fecha de la
correctiva tomada. Los resultados deben mantenerse durante un grabación, la cámara / área de la que se realizó la grabación, una breve
tiempo suficiente para fines de auditoría. descripción de los hallazgos y, si es necesario, las acciones correctivas. Tiempo
para mantener la documentación:

El tiempo para retener las revisiones documentadas del material de archivo

puede variar según el marco de auditoría implementado en la instalación. Se
recomienda un mínimo de 2 a 5 años.

Las grabaciones de material de archivo que cubran procesos de

importación / exportación clave deben mantenerse durante un
Debe mínimo de 14 días después de que el envío que se está
monitoreando haya llegado al punto de destino, donde el contenedor
se abre por primera vez después de pasar por la Aduana.
 Control de acceso

Los miembros de CTPAT deben tener procedimientos escritos que

rijan la forma en que se otorgan, cambian y eliminan las credenciales
de identificación y los dispositivos de acceso.
Cuando corresponda, debe existir un sistema de identificación de
Debe personal para fines de identificación positiva y control de acceso. El
acceso a áreas sensibles debe estar restringido según la descripción
del trabajo o las tareas asignadas.
La eliminación de los dispositivos de acceso debe realizarse al
separarse el empleado de la empresa
Los dispositivos de acceso incluyen credenciales de identificación de empleados,
credenciales temporales de visitantes y proveedores, sistemas de identificación
biométrica, tarjetas de proximidad, códigos, claves. Las listas de verificación de
salida se recomiendan cuando los empleados se separan de una empresa para
garantizar que todos los dispositivos de acceso se hayan devuelto y / o
desactivado. Para las empresas más pequeñas, donde el personal se conoce, no
se requiere ningún sistema de identificación.

Los visitantes, proveedores y proveedores de servicios deben

presentar una identificación con foto al llegar, y se debe mantener un
registro que registre los detalles de la visita. Todos los visitantes y
proveedores de servicios deben recibir una identificación temporal. Si
se utiliza una identificación temporal, debe mostrarse de forma
visible en todo momento durante la visita.

El registro de registro debe incluir lo siguiente:

Debe • Fecha de la visita;
• Nombre del visitante;
• Verificación de la identificación con foto (tipo verificado, como
licencia o tarjeta de identificación nacional). Los visitantes frecuentes
y bien conocidos, como los vendedores habituales, pueden renunciar
a la identificación con foto, pero aún deben estar conectados y
desconectados de la instalación;
• Hora de llegada;
• Punto de contacto de la empresa; y
• Hora de salida

Los conductores que entregan o reciben carga deben identificarse

positivamente antes de recibir o liberar la carga. Los conductores
deben presentar una identificación con foto emitida por el gobierno
al empleado de la instalación que otorga acceso para verificar su
Debe identidad. Si no es factible presentar una identificación con foto
emitida por el gobierno, el empleado de la instalación puede aceptar
una forma reconocible de identificación con foto emitida por la
compañía de Carreteras que emplea al conductor que recoge la
carga.
 Se debe mantener un registro de recogida de carga para registrar a
los conductores y registrar los detalles de sus medios de transporte al
recoger la carga. Cuando los conductores llegan para recoger carga en
una instalación, un empleado de la instalación debe registrarlos en el
registro de recolección de carga. A la salida, los conductores deben
estar desconectados. El registro de carga debe mantenerse seguro, y
los conductores no deben tener acceso a él.
Debe El registro de recogida de carga debe tener los siguientes elementos Un registro de visitantes puede duplicarse como un registro de carga siempre y
registrados: cuando la información adicional se registre en él.
• Nombre del conductor;
• Fecha y hora de llegada;
• Empleador;
• Numero de camion;
• Número de remolque;
• Hora de salida;
• El número de sello colocado en el envío en el momento de la salida.

Antes de la llegada, el Transportista debe notificar a la instalación la
hora estimada de llegada para la recogida programada, el nombre del
Debe conductor y el número del camión. Cuando sea operativamente
viable, los miembros de CTPAT deben permitir entregas y recogidas
solo con cita previa
El objetivo aquí es que los transportistas y transportistas eviten recogidas ficticias.
Las recolecciones ficticias son esquemas delictivos que resultan en el robo de
carga por engaño que incluye a los conductores de camiones que usan
identificaciones falsas y / o negocios ficticios establecidos con el propósito de
robo de carga.

Debería Los paquetes que llegan y el correo deben ser revisados Los ejemplos de dicho contrabando incluyen, entre otros, explosivos, drogas
periódicamente para detectar contrabando antes de ser admitidos. ilegales y moneda.

Los requisitos de trabajo para los guardias de seguridad deben estar

contenidos en políticas y procedimientos escritos. La gerencia debe
Debe verificar periódicamente el cumplimiento de estas instrucciones de Los guardias de seguridad a menudo se emplean en sitios de fabricación, puertos
marítimos, centros de distribución, consolidadores y reenvíos que operan sitios.
trabajo y políticas a través de auditorías, revisiones de políticas y
ejercicios simulados.
 Seguridad personal

La información de la solicitud, como el historial de empleo y las

Debe referencias, se debe verificar antes del empleo, en la medida de lo
posible y permitido por la ley.

De acuerdo con las limitaciones legales aplicables y la disponibilidad

de las bases de datos de antecedentes penales, se deben llevar a
cabo evaluaciones de antecedentes de los empleados. Según la
sensibilidad de la posición, los requisitos de verificación de los
empleados deben extenderse a la fuerza laboral temporal y los
contratistas. Una vez empleado, se deben realizar reinvestigaciones
periódicas basadas en la causa y / o la sensibilidad de la posición del
empleado. La investigación de antecedentes de los empleados debe
Debería incluir la verificación de la identidad y antecedentes penales del
empleado que abarca las bases de datos de la Ciudad, del Estado,
Provinciales y del País. Los miembros de CTPAT y sus socios
comerciales deben tener en cuenta los resultados de las
verificaciones de antecedentes, según lo permiten los estatutos
locales, al tomar decisiones de contratación. Las verificaciones de
antecedentes no se limitan a la verificación de identidad y
antecedentes penales. En áreas de mayor riesgo, puede justificar
investigaciones más profundas.

Capacitación, educación y concientización

Los miembros deben establecer y mantener un programa de

capacitación y concientización sobre seguridad para reconocer y
fomentar el conocimiento de las vulnerabilidades de seguridad en las
instalaciones, medios de transporte y carga en cada punto de la
cadena de suministro, que podrían ser explotados por terroristas o
contrabandistas. El programa de capacitación debe ser integral y
cubrir todos los requisitos de seguridad de CTPAT. Se debe brindar
capacitación especializada más profunda a ese personal en
posiciones sensibles.
Uno de los aspectos clave de un programa de seguridad es la
capacitación. Los empleados que entienden por qué se aplican las
medidas de seguridad tienen más probabilidades de adherirse a ellas.
La capacitación en seguridad debe proporcionarse a todos los
empleados y contratistas de manera regular, y los empleados y
contratistas recién contratados deben recibir esta capacitación como
parte de su capacitación en orientación / habilidades laborales.

El programa CTPAT ya ha comenzado el desarrollo de la capacitación sobre el

Debe nuevo MSC. Una vez finalizado el MSC, el programa pondrá a disposición de sus
Miembros la capacitación a través del Portal CTPAT.
 El programa CTPAT ya ha comenzado el desarrollo de la capacitación sobre el
Debe nuevo MSC. Una vez finalizado el MSC, el programa pondrá a disposición de sus
Miembros la capacitación a través del Portal CTPAT.

Los temas de capacitación deben incluir la protección de los controles

de acceso, el reconocimiento de las conspiraciones internas y los
procedimientos de notificación de actividades sospechosas e
incidentes de seguridad. Cuando sea posible, la capacitación
especializada debe incluir una demostración práctica. Si se realiza una
demostración práctica, el instructor debe dar tiempo a los
estudiantes para que demuestren el proceso.
Los miembros deben conservar evidencia de capacitación, como
registros de capacitación, hojas de registro (lista) o registros de
capacitación electrónicos. Los registros de capacitación deben incluir
la fecha de la capacitación, los nombres de los asistentes y los temas
de la capacitación.

Los conductores y otros empleados que realizan inspecciones de

seguridad y agrícolas de medios de transporte vacíos e instrumentos
de tráfico internacional (IIT) deben estar capacitados para
inspeccionar sus medios de transporte / IIT con fines de seguridad y
agrícolas.
La capacitación de actualización debe llevarse a cabo periódicamente,
Debe según sea necesario después de un incidente o violación de la
seguridad, o cuando haya cambios en los procedimientos de la
empresa.
La capacitación en inspección debe incluir los siguientes temas:
• Señales de compartimentos ocultos;
• Contrabando oculto en compartimentos naturales; y
• Señales de contaminación por plagas.

El personal en posiciones sensibles debe recibir capacitación

especializada adicional orientada hacia las responsabilidades que la
persona tiene. Las posiciones sensibles incluyen al personal que
trabaja directamente con la carga o su documentación, así como al
personal involucrado en el control del acceso a áreas o equipos
sensibles. Tales posiciones incluyen, pero no se limitan a, envío,
Debe recepción, personal de la sala de correo, conductores, despacho,
guardias de seguridad, cualquier persona involucrada en
asignaciones de carga, seguimiento de transportes y / o controles de
sellado. Un tema de capacitación que debe darse a los empleados
que se ocupan de los procesos de importación / exportación y la
documentación es el robo de identidad corporativa (y las medidas
para evitarlo).

Comprender la capacitación y ser capaz de usar esa capacitación en la posición de

Los miembros de CTPAT deben tener medidas en los lugares para uno (para empleados sensibles) es de suma importancia. Los exámenes o
Debería verificar que la capacitación proporcionada cumpla con todos los pruebas, un ejercicio de simulación / simulacro, o auditorías regulares de
objetivos de la capacitación. procedimientos, etc., son algunas de las medidas que el Miembro puede
implementar para determinar la efectividad de la capacitación.

Se debe proporcionar capacitación especializada anualmente al
personal que pueda identificar los indicadores de advertencia de
Debe lavado de dinero basado en el comercio y financiamiento del
terrorismo.
Los ejemplos de personal para recibir dicha capacitación incluyen a los
responsables de cumplimiento comercial, seguridad, adquisiciones, finanzas,
envío y recepción. Los miembros pueden tener en cuenta el documento
Indicadores de advertencia de CTPAT para actividades de lavado de dinero y
financiamiento del terrorismo basadas en el comercio, que se proporcionarán
como un módulo en la capacitación de CTPAT.

La Oficina de Aduanas y Protección Fronteriza de los Estados Unidos ha

Se debe proporcionar capacitación al personal correspondiente para
prevenir la contaminación visible de plagas. La capacitación debe
Debe incluir medidas de prevención de plagas, requisitos reglamentarios
aplicables a los materiales de embalaje de madera (WPM) e
identificación de la madera infestada.
colaborado con el Departamento de Agricultura de los Estados Unidos para
desarrollar capacitación sobre la contaminación visible de plagas. Se han
desarrollado diferentes módulos de capacitación para los diferentes entornos
comerciales: aéreo, marítimo y terrestre (ferrocarril y transporte por carretera).
Estos módulos de capacitación se pondrán a disposición de todos los Miembros a
través del Portal CTPAT.

Se ha encontrado que la falta de capacitación de calidad en los sectores de la

El personal debe recibir capacitación sobre las políticas y los
procedimientos de ciberseguridad de la empresa. Esto debe incluir la
Debe necesidad de que los empleados protejan las contraseñas / frases de
acceso y el acceso a la computadora.
industria es una de las razones principales por las que las empresas se vuelven
vulnerables a los ataques cibernéticos. Los miembros pueden combatir esto
utilizando un sólido programa de capacitación en seguridad cibernética,
preferiblemente uno que se entrega a todo el personal en un entorno formal en
lugar de hacerlo simplemente a través de correos electrónicos y presentaciones
de diapositivas.

El personal que opera y administra los sistemas de tecnología de La experiencia previa con sistemas similares es aceptable. La autoformación a
Debe seguridad debe recibir capacitación en su operación y través de manuales operativos y otros métodos es aceptable para las empresas
mantenimiento. más pequeñas.

Los procedimientos para reportar incidentes de seguridad o actividades

sospechosas son aspectos extremadamente importantes de un programa de
seguridad, y la capacitación sobre cómo reportar un incidente puede incluirse en
La capacitación debe darse en informes situacionales. Los empleados la capacitación general de seguridad. Los módulos de capacitación especializada
deben estar capacitados para saber qué informar, cómo hacerlo y a (basados en los deberes del trabajo) pueden tener una capacitación más
Debe quién. Además de informar sobre las responsabilidades, también se
debe proporcionar capacitación sobre qué hacer después de que el detallada sobre los procedimientos de informes para incluir protocolos de
empleado haya informado de la situación. respuesta específicos después de que se informa del incidente. La capacitación de
CTPAT para Miembros tendrá un módulo sobre el informe de situación, que
incluirá los detalles de un incidente sobre el que se debe informar, quién, cuándo,
etc.