Explora nuestro blog

Cómo los equipos de gestión de riesgos evalúan las soluciones de firma electrónica

La gestión de riesgos de distribuidores terceros es una de las principales prioridades de muchas compañías, y con justa razón.  Las relaciones con distribuidores terceros puede incrementar el perfil de amenazas de una compañía y ponerla en riesgo de convertirse en noticia de última hora. Por lo tanto, no debería ser sorprendente que los equipos de gestión de riesgos terceros realicen las debidas diligencias previo a contratar un nuevo proveedor de soluciones.

Pero, ¿cómo puede facilitar el proceso cuando se trata de seleccionar un proveedor de soluciones de firma electrónica? ¿Cuáles son los elementos críticos a considerar desde el punto de vista de riesgo de terceros? Todo se resume a clasificación y cumplimiento. 

Aunque cada equipo de gestión de riesgos tercero cuenta con su propio proceso de clasificación de distribuidores, la mayoría de las grandes organizaciones considera que los distribuidores de firma electrónica son de nivel uno dada la naturaleza altamente sensible de la información que fluye por la solución.  Con los distribuidores de nivel uno, el escrutinio es aún más intenso y las evaluaciones son más frecuentes. 

Y aquí es donde entra en juego un buen programa de seguridad y cumplimiento. ISO, SOC y otras certificaciones cuentan con rigurosos requisitos que, de cubrirlos, resuelven las preocupaciones de los equipos de gestión de riesgo terceros cuando se trata de seleccionar una solución de firma electrónica.  

Pero, ¿cuáles son dichas preocupaciones y cómo se puede hacer una pre selección para asegurarse que el distribuidor cubra los criterios? Las preocupaciones se pueden dividir en ocho temas para que usted evalúe a un proveedor de solución de firma electrónica que no represente un riesgo potencial; cada tema se enfoca en un área diferente de seguridad, privacidad y cumplimiento jurídico.   

1. Clasificación de información

La forma en que un distribuidor clasifica la información que fluye a través de la solución de firma electrónica es crítica y establece qué tan efectivo será en los siguientes tres temas. 

¿Por qué es importante?

Los equipos de gestión de riesgos terceros quieren asegurarse de que la información que fluye por la herramienta de firma electrónica esté protegida y de qué manera. Lo que se necesita es una solución análoga al tradicional servicio de paquetería que entrega sobres. El servicio monitorea el momento en que se recoge el sobre, el proceso de entrega y la entrega final. En ningún punto el mensajero ve la información dentro del sobre, y todas las partes tienen acceso para monitorear la información durante todo el proceso. 

¿Qué debería buscar?

  • Cómo clasifican datos
  • Cuáles datos se consideran públicos y cuáles no
  • Si hay diferencia entre diferentes tipos de datos internos y cuál es
  • Quién puede ver determinados tipos de datos

2. Almacenamiento y codificación de información (en tránsito y en inactividad)

El apetito por seguridad contra riesgos varía de una organización a otra y depende tanto de cómo opere la industria como de los requisitos jurídicos y normativos correspondientes.  Sin importar la industria, la seguridad es una preocupación central para todos los equipos de gestión de riesgos terceros, y cómo se manejan los datos es central para maximizar la protección. 

¿Por qué es importante?

La clave para recordar cuando se evalúa a un distribuidor en esta área es saber si los datos están protegidos en movimientoy en inactividad. En ningún punto usted querrá que su información quede expuesta.

¿Qué debería buscar?

  • Una codificación mínima de 256 bits 
  • Protocolos de seguridad empleados, como HTTPS, SSL, SSH, IPsec, SFTP
  • Qué datos/documentos se codifican 
  • Con qué suites de cifrado son compatibles
  • Si ofrecen no repudio para todos los documentos generados y firmados
  • Si cuentan con política de eliminación y reutilización de datos
  • Qué procesos existen para la gestión de equipos y la eliminación segura de material

3. Privacidad de la información

Los equipos de gestión de riesgos terceros buscan privacidad desde tres perspectivas: 

  • Cómo se usan los datos personales
  • Si los usuarios tienen la opción de incluirse o excluirse para recibir información 
  • Con cuánta privacidad se maneja información privada, como información personalmente identificable (PII) e información de salud pública (PHI)

¿Por qué es importante?

Al igual que con clasificación, almacenamiento y codificación, todo se resume a proteger los datos de los usuarios. ¿El proveedor de soluciones de firma electrónica cuenta con un programa de privacidad y aprobará el escrutinio necesario para satisfacer a las industrias más reguladas, como servicios médicos? Y cuando se agrega la transferencia de datos entre países, en especial dentro y fuera de la Unión Europea, entonces es necesario asegurar que el proveedor cumpla con el Reglamento General de Protección de Datos (RGPD), que son las normas de protección de datos más importante en más de 20 años.

¿Qué debería buscar?

Con qué prácticas de gestión y privacidad de datos cuentan en las áreas de:  

  • Derechos de los interesados
  • Eliminación y retención de datos
  • Acceso a datos
  • Residencia de datos
  • Subprocesadores
  • Avisos de privacidad
  • Capacitación y reconocimiento
  • Gobernanza y responsabilidad
  • RGPD y otras normas sobre privacidad

4. Controles de acceso

En esta área, el enfoque se centra en saber si la compañía controla quién puede tener acceso a qué tipo de datos y cuándo. 

¿Por qué es importante?

Los equipos de gestión de riesgos terceros quieren asegurarse de que los empleados y otros individuos solo tengan acceso a la información que necesitan para hacer su trabajo y nada más, y que también haya procesos para retirar dicho acceso cuando el empleado cambia de trabajo o deja la compañía.   Sobre todo, deben asegurarse de que nadie tenga acceso a datos en el sobre (la analogía del servicio de mensajería). 

¿Qué debería buscar?

  • Acceso personalizable según el puesto y autorización para distribuidores y clientes
  • Sistema de gestión centralizado que controla el acceso a través de autenticación multifactor
  • Un sistema de gestión de redes, integrado con software antivirus y detectores de malware
  • Programa clave de gestión y codificación 
  • Procesos automáticos para detectar códigos potencialmente dañinos 

5. Sustentabilidad

Con sustentabilidad, todo se resume a la huella de carbono y al impacto que está teniendo la compañía sobre el medio ambiente.

¿Por qué es importante?

La sustentabilidad es un tema de actualidad para todos—con justa razón—y nadie quiere estar involucrado con una compañía que es descuidada con el medio ambiente, ya que les dará una mala reputación. 

¿Qué debería buscar?

  • Si han recibido multas por infracciones
  • La cantidad de residuos y emisiones que generan, y el número de recursos que se usan en la cadena de suministro y durante todo el ciclo vital del producto  
  • Si fomentan la responsabilidad ambiental con programas de reabastecimiento de ecosistemas

6. Conducta ética 

La conducta ética incluye el rechazo al trabajo forzado, la trata de personas y otras acciones similares. Aunque el RU y Australia cuentan con Leyes contra la Esclavitud Moderna, su importancia desde el punto de vista de riesgos terceros se extiende más allá de dichas regiones, incluyendo EE. UU. 

¿Por qué es importante?

Al igual que la sustentabilidad, y en realidad que las otras 8 categorías, las compañías quieren saber si las organizaciones con las que hacen negocios son éticas. Al estar asociadas con una compañía que practica trabajo forzado, por ejemplo, definitivamente manchará la reputación de la empresa e incrementará el perfil de riesgo.  

¿Qué debería buscar?

  • Si existe una política y cómo se aplica
  • Qué tipo de capacitación hay para empleados
  • Si la política y la capacitación incluyen a los distribuidores terceros de los proveedores

7. Continuidad empresarial y recuperación en caso de desastres

Siempre pasa algo, por lo que un plan de continuidad empresarial y de recuperación en caso de desastres asegura que continúe el acceso a productos y servicios incluso durante una pandemia global, desastre natural o evento catastrófico similar.   

¿Por qué es importante?

Porque la necesidad de tener algo no se desvanece simplemente porque ha habido alteraciones en la cadena de suministro. La gente sigue necesitando papel higiénico y los contratos tienen que ser firmados, entonces es necesario saber si hay un plan para asegurarse de que el negocio puede recuperarse y continuar.

¿Qué debería buscar?

  • Si existe un plan y si cubre pandemias
  • En qué consiste el plan, el cual debería incluir: 
  • Pruebas anuales (como mínimo)
  • Bajas integradas con centros de datos dispersos geográficamente
  • Réplica de datos segura en tiempo casi real 
  • Eliminación de puntos de falla 

8. Gestión de riesgos de distribuidores 

En esta área, el riesgo de terceros analiza cómo el proveedor de firma electrónica gestiona y se responsabiliza de sus distribuidores terceros. 

¿Por qué es importante?

Es importante asegurarse que cualquier persona con acceso a datos cuente con protocolos adecuados y los siga. 

¿Qué debería buscar?

  • Si es requisito para los distribuidores seguir los mismos protocolos internos de la compañía
  • Si se llevan a cabo auditorías/evaluaciones para asegurar que los subprocesadores sean de conformidad con los protocolos internos del proveedor de firma electrónica
  • Si el proveedor es responsable por actos y omisiones de sus subcontratistas 

Conclusiones

En definitiva, la gestión de riesgos de distribuidores terceros realmente se resume a cumplimiento y qué tanto el proveedor de soluciones de firma electrónica cubre estándares de seguridad nacionales e internacionales para proteger datos y asegurar la privacidad. 

Una compañía que cumple con estándares normativos y de la industria, como ISO 27001:2013, SOC 1 y SOC 2, Estándares de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI SSC) y el programa de Registro de Seguridad, Confianza y Garantía certificación (STAR) de Cloud Security Alliance (CSA), por nombrar algunos, es muestra de que cuenta con políticas y procedimientos para proteger los datos cuyo manejo es su responsabilidad. 

Yesa es la belleza de dichas certificaciones. Permiten que sea más fácil para usted y su equipo de gestión de riesgos tercero evaluar si las soluciones de firma electrónica en evaluación pueden ofrecer el nivel de protección que su compañía necesita y su industria demanda.

Para obtener más información sobre los programas de seguridad y privacidad de DocuSign y cómo cumplimos y excedemos los estándares a nivel mundial, visite DocuSign Trust Center

Autor
Colaborador de DocuSign
Publicado en
Temas relacionados

Ve publicaciones similares