5.2.15.1. Las políticas y procedimientos de seguridad de la información de Aranda Software deben ser cumplidas por los proveedores definidos como críticos.
5.2.15.2. Es responsabilidad de los empleados de Aranda que tienen relación con los proveedores, conocer y aplicar las políticas del SGSI en el marco de dicha relación y alertar cualquier incumplimiento de las mismas como un incidente de Seguridad.
5.2.15.3. Se deben generar Acuerdos de Confidencialidad y Acuerdos de Intercambio de Información para todos los proveedores clasificados como Críticos donde queden claramente establecidas las obligaciones del contratista y se establezca el cumplimiento de las políticas del SGSI.
5.2.15.4. Los riesgos de seguridad de la información relacionados con los proveedores deben ser identificados y evaluados antes de comenzar la relación comercial, y son monitoreados periódicamente desde el inicio. Este monitoreo es responsabilidad del área de seguridad de la información quien en conjunto con el responsable de la relación con el proveedor determinarán los riesgos propios de dicha relación.
5.2.15.5. Los accesos requeridos por proveedores a la información e infraestructura, sin importar su lugar de almacenamiento deben ser evaluados y aprobados de manera formal acorde a la Política de Control de Acceso de la organización.
5.2.15.6. Los proveedores deben cumplir con el numeral 5.2.2 Inventario de información y activos asociados, que queden bajo su responsabilidad; esto define acciones como almacenamiento, transmisión, impresión y procesamiento; de acuerdo con el Procedimiento establecido para tal fin.
5.2.15.7. Los proveedores definidos como críticos deben realizar la gestión de vulnerabilidades de las plataformas que estén bajo su responsabilidad y que estén involucradas en la relación con Aranda. Esto incluye el reporte oportuno a la Organización Aranda Software de las vulnerabilidades identificadas y las medidas a implementar para mitigar los riesgos asociados.
5.2.15.8. El proveedor debe reportar oportunamente los eventos de seguridad de la información que pongan en riesgo los servicios contratados.
5.2.15.9. El área de Seguridad de Información debe monitorear, y evaluar regularmente (al menos una vez al año) cambios en las prácticas de seguridad de la información en los proveedores.
5.2.15.10. Los proveedores definidos como críticos deben contar con la existencia de un plan de continuidad de negocio.