Procedimiento homologación de proveedores

Objetivo

El presente Documento tiene por objeto definir e implementar un procedimiento de homologación de proveedores que garantice que cumplan con los requisitos de seguridad, disponibilidad y confidencialidad de Key Iberboard y que permita su valoración en función de los riesgos presentes durante la prestación del servicio en cuestión, para asegurar que se encuentran dentro de los niveles aceptados por la compañía.

Esta categorización está basada en la política de gestión de riesgos de la compañía y en base a los requisitos establecidos por Key Iberboard en su política de seguridad y por sus clientes en la prestación de los servicios relacionados con dicho proveedor.

Una vez categorizado el proveedor, se procede a su homologación mediante el procedimiento establecido.

Ámbito

El procedimiento es de obligado cumplimiento para cualquier proveedor de servicios que pueda tener acceso a los datos gestionados por Key Iberboard, a los proveedores que ofrezcan servicios relacionados con las labores profesionales de Key Iberboard, servicios que sean necesarios para la continuidad de Key Iberboard y/o para su correcto funcionamiento o servicios que, en caso de incidentes, puedan ocasionar un daño económico o reputacional a Key Iberboard.

Metodología

Key Iberboard (de ahora en adelante nombrada como la compañía), dispone de una metodología de homologación de proveedores, la cual permite categorizar el proveedor en función de la criticidad de los servicios prestados, de forma que se pueda aplicar un sistema de homologación acorde a los mismos.

Esta categorización está basada en la política de gestión de riesgos de la compañía y en base a los requisitos establecidos por Key Iberboard en su política de seguridad y por sus clientes en la prestación de los servicios relacionados con dicho proveedor.

Una vez categorizado el proveedor, se procede a su homologación mediante el procedimiento establecido.

Valoración de la criticidad del provedor

Para valorar la criticidad se puntúan las siguientes casuísticas del proveedor en función de su influencia en la actividad de Key Iberboard:

  • El proveedor tiene acceso a datos confidenciales de los clientes
  • El proveedor tiene acceso a datos críticos para la compañía
  • El proveedor es vital para algún servicio de la compañía
  • El proveedor tiene una criticidad media o superior según la política de valoración de riesgos de la compañía
  • Los servicios contratados con el proveedor son entre 25.000€ y 50.000€
  • Los servicios contratados superan los 50.000€
  • Existe un proveedor alternativo para el servicio prestado
  • El proveedor dispond ede alguna certificación de seguridad que puede aportar
  • El servicio puede ser gestionado sin la participación del proveedor
  • El proveedor ha sido recomendado por el cliente para la prestación del servicio.

Con la puntuación resultante el proveedor es categorizado como: proveedor irrelevante, significativo o de riesgo. Los proveedores irrelevantes no precisan homologación, los proveedores significativos requerirán la homologación básica y los proveedores de riesgo la homologación avanzada.

Tipos de homologaciones

En Key Iberboard se han definido varios tipos de homologación de proveedores de forma que se puedan adaptar a los riesgos inherentes a los servicios prestados por dicho proveedor y a los requisitos de seguridad de la compañía y de sus clientes, por ejemplo, no es necesario aplicar los mismos requisitos a un proveedor que tiene acceso a los datos confidenciales de nuestros clientes, que a un proveedor que simplemente nos manda material de oficina.

En el proceso de homologación de los proveedores se evalúan los siguientes puntos:

  • Fiabilidad de la compañía: Que sea una compañía con experiencia demostrada en los servicios prestados, que no tenga riesgos financieros o de otro tipo que puedan originar la desaparición de esta, etc…
  • Protección de datos: Se analizan certificaciones en materia de protección de datos (ej.: ISO27001), las medidas de seguridad y de protección de datos utilizadas por el proveedor.
  • Conflictos de intereses: Cualquier asunto que pueda suponer una incompatibilidad para la selección de dicho proveedor, como puede ser:
    • Existencia de alguna relación directa con empleados de Key Iberboard: que algún empleado sea familia de alguien de la empresa del proveedor
    • Que algún empleado tenga intereses económicos con el proveedor, como puede ser cobro de comisiones, desempeño de cargos en la empresa del proveedor, que sea propietario de acciones, etc…
    • Que el proveedor ofrezca servicios que puedan suponer una competencia directa a la labor comercial de Key Iberboard.

HOMOLOGACIÓN BÁSICA

Destinada a los proveedores de servicios no críticos y que no suponen un riesgo grave para Key Iberboard.

La homologación se basa en la cumplimentación de un formulario el cual es evaluado por el departamento de administración para decidir si dicho proveedor es válido

HOMOLOGACIÓN AVANZADA

Destinada a los proveedores que supongan un riesgo elevado para Key Iberboard derivado de los servicios prestados.

 

Este tipo de auditorías puede ser completado con una revisión física de las instalaciones donde se encuentran las infraestructuras y/o información de Key Iberboard utilizadas en el servicio subcontratado si el responsable de Key Iberboard lo considera necesario.

Resultado de la homologación

Una vez obtenida la información de la auditoría, será revisada por el responsable de seguridad de Key Iberboard el cual tiene la responsabilidad de validar al proveedor si considera que cumple con los requisitos en materia de protección de datos establecidos por la compañía y después notificará al departamento de administración el resultado de dicha auditoría para que el proveedor sea rechazado o dado de alta en los sistemas de gestión de Key Iberboard. También procederá a comunicar a las partes interesadas del resultado de dicha auditoría si procede (responsables de proyecto, clientes, etc…).

Los proveedores que sean homologados y tengan algún tipo de acceso a la información de Key Iberboard, además del contrato de servicios, deberán firmar un contrato de encargado de tratamientos y un contrato de confidencialidad.

Excepciones del procedimiento

 

En el caso de que un posible proveedor no pueda ser homologado por suponer un riesgo para Key Iberboard o por no cumplir algún requisito básico, pero sea necesario su uso para la prestación del servicio, dicha excepción deberá ser autorizada por la dirección de Key Iberboard, para lo que el responsable de seguridad proporcionará un informe que permita tomar una decisión clara al respecto y se documentará dicha excepción durante el tiempo que esté vigente, siendo revisada con una periodicidad anual por el equipo de seguridad de Key Iberboard con el fin de analizar si puede ser subsanada de alguna forma alternativa (ej.: localizando otro proveedor mas adecuado). El informe que se enviará a la dirección debe contener al menos la siguiente información:

  • Proyecto o servicio que requiere dicho proveedor y clientes afectados
  • Información del proveedor: Nombre, servicios demandados, etc…
  • Motivos por los que el proveedor no puede ser homologado
  • Motivos por los cuales se considera necesario el uso de dicho proveedor
  • Riesgos derivados del uso de dicho proveedor
bpo empleados
Asesoría laboral, fiscal, contable y legal con estándares internacionales y cercanía local.

ISO9001

Dónde encontrarnos

Avenida de Burgos, 12 B 1º Izquierda. 28036 Madrid

Habla con nosotros

Horario de atención

Lunes a Jueves: 8:30h · 18:00h
Viernes: 8:30h · 15:00h