01/01/2022

Aspectos de Seguridad de la Información en Ofertas y Propuestas de Trabajo

  • El cliente conoce y acepta las políticas corporativas de EMMSA publicadas en el sitio institucional (https://www.emmsa.net/about-page/politicas-corporativas/), especialmente la Política de Seguridad de la Información, la Política de Integridad, el Código de Ética y Conducta y los disclaimers.
  • Si el cliente lo solicita se podrá firmar un NDA marco (acuerdo de confidencialidad) para el intercambio de información.  EMMSA cuenta con NDA firmado con todo su personal, realizando el desarrollo completo con personal propio.
  • Es responsabilidad del cliente generar los datos de prueba ofuscando, modificando o encriptando la información que corresponda para cuidar su confidencialidad en aquellos elementos que se considere necesario.  Todos los datos que se generen en ambientes accesibles por EMMSA o se remitan a nuestra empresa se asumirán como datos de ejemplo no reales y deben ser administrados por el cliente bajo las condiciones descriptas.
  • La validez e integridad de los datos que se configuren en ambientes de testing o producción son responsabilidad del cliente.
  • El cliente verificará que los sistemas desarrollados incluyan todas las validaciones y controles requeridos en el input de datos para asegurar la integridad de los datos que se manejen.
  • Los aspectos de disponibilidad del sistema dependerán de la infraestructura utilizada por el cliente y las características de tolerancia a fallos que éste implemente en los ambientes de testing y/o producción que utilice para la implementación del sistema, así como los cuidados de ciberseguridad específicos que deseen utilizar en su infraestructura, los cuales quedarán bajo su criterio y responsabilidad.
  • En caso de no existir requisitos de seguridad de la información específicamente aclarados por el cliente en los alcances del proyecto se asumirá que las características estándares de nuestros desarrollos cumplen los requerimientos en este aspecto, al aplicar perfiles de seguridad de usuarios para restringir niveles de acceso a los datos, realizar hashing de contraseñas e implementar las prácticas habituales de logueo del usuario que realizó la transacción, como medidas para el cuidado de la confidencialidad e integridad de la información, no existiendo necesidad de medidas de seguridad de la información adicionales.
  • EMMSA puede realizar pruebas específicas de seguridad de las aplicaciones desarrolladas (análisis de vulnerabilidad) con herramientas especializadas avanzadas como Nessus, Acunetix, SonaQube, Hdiv, HCL AppScan u otras, debiendo adicionarse el costo adicional correspondiente al proyecto, en cuyo caso deberá existir la aclaración correspondiente en los alcances del proyecto, caso contrario se asume que no se requieren testeos específicos en este aspecto.
  • De igual forma en caso de solicitarse y aclararse en los alcances del proyecto se podrá considerar la participación de una tercera empresa especialista en seguridad informática que revise y valide los aspectos de seguridad de la aplicación, también considerando sus costos y tiempos adicionales.
  • Si el cliente lo solicita como parte de los servicios contratados, EMMSA podrá a futuro realizar un monitoreo periódico (trimestral, cuatrimestral, semestral o anual) según se solicite del estado de actualización de componentes de la aplicación por la eventual publicación de vulnerabilidades conocidas que puedan facilitar ataques, o la disponibilidad de nuevas versiones de componentes que puedan ofrecer mejoras, y realizar un re-check periódico de la seguridad de la aplicación.
  • Las versiones publicadas serán mantenidas accesibles durante el periodo de tiempo limitado, y pasado ese lapso serán retiradas automáticamente de publicación por cuestiones de seguridad de la información.
  • Las entregas realizadas por EMMSA son siempre enviadas para ser implementadas inicialmente y probadas den el entorno de testing. La responsabilidad de EMMSA durante el desarrollo consiste en ir dejando disponible para Testing las entregas correspondientes para su prueba y decisión del cliente de su pasaje al entorno productivo. La administración de ambientes y descargas/instalación de versiones será realizada por el cliente.
  • La efectiva realización de las pruebas sobre las versiones enviadas, la participación de los key-users y la aprobación/pasaje a productivo será realizado internamente por el cliente en función de las prioridades que se asignen y la disponibilidad de los recursos técnicos y humanos necesarios que el mismo asigne, y por lo tanto quedan fuera de los alcances de EMMSA. Definición de ‘hecho’: entregado y disponible para ser implementado en entorno de testing.
  • Las puestas en producción de alguno o todos los entregables y/o el pago de las facturas correspondientes al proyecto serán tomadas como aceptaciones implícitas de los paquetes de instalación / actualización remitidos, por haberse superado exitosamente las fases de testing previas.
  • El cliente se compromete a respetar y dar cumplimiento a todos los aspectos regulatorios, de propiedad intelectual y de legislación aplicable al ámbito del proyecto, incluyendo lo referente a elementos técnicos (ej. licencias del software en uso), humanos o de otra índole.
  • La garantía sobre los entregables requiere que no se realicen cambios en los componentes entregados y que las implementaciones se efectúen respetando con exactitud los pasos e indicaciones realizadas.  Cualquier modificación no acordada que realice el cliente sobre componentes de la solución o no respetando los pasos o pre-requisitos de instalación de versiones puede ser motivo de pérdida de la garantía.  De igual forma la falta de pago en tiempo y forma de las facturas presentadas por nuestra empresa es motivo suficiente de pérdida de la garantía.
  • Durante el proyecto EMMSA podrá dar eventualmente acceso a usuarios del cliente para acceder a herramientas propias de gestión y seguimiento de tareas, en cuyo caso el cliente se compromete a brindar la información requerida para el alta de dichos usuarios e informar inmediatamente a EMMSA cualquier cambio de posición en la empresa o desafectación de alguna de esas personas para que podamos retirar con celeridad los permisos otorgados.
  • En caso de recibir información confidencial de EMMSA, el cliente se compromete a no divulgar esa información ni compartirla con personas propias o ajenas no involucradas en el proyecto.  Toda información recibida de EMMSA que no sea de dominio público será considerada de carácter confidencial.