ES Español FR Français DE Deutsch IT Italiano ZH 中文 JA 日本語 PT Português AR العربية
← Workspace

📄 Documento 49 de 95

Política de Gestión de Proveedores

Rige el proceso de debida diligencia, onboarding, clasificación por criticidad, revisión anual y offboarding de proveedores y sub-procesadores de Lawra, S.R.L. Cubre ejecución de DPAs, requisitos de postura de seguridad, divulgación a clientes e inventario de proveedores.

⚠️ Documento interno. Borrador para revisión legal por abogado dominicano colegiado antes de notarización.

Política de Gestión de Proveedores

Política operativa interna. Establece el marco de selección, contratación, supervisión y terminación de proveedores y sub-procesadores de Lawra, S.R.L. Aprobada por la Asamblea en [__]. Versión: 1.0.

1. Propósito y Alcance

1.1. Lawra, S.R.L. depende de proveedores externos para componentes críticos de su plataforma: infraestructura cloud, modelos de IA, herramientas de colaboración, proveedores de pago y más. Esta política garantiza que los riesgos asociados a dichos proveedores son identificados, evaluados y gestionados de forma sistemática.

1.2. — Aplica a:

  • Sub-procesadores — proveedores que procesan datos personales de clientes de Lawra en nombre de Lawra (Google Firebase, proveedores de AI como Google Gemini, proveedores de pago, herramientas de analytics que reciben datos de usuarios, etc.).
  • Proveedores críticos de infraestructura — servicios cuya interrupción o compromiso afecta directamente la disponibilidad o seguridad del producto.
  • Proveedores de servicios profesionales — contadores, auditores, abogados externos, consultores de seguridad con acceso a información confidencial de Lawra.
  • Herramientas SaaS internas — plataformas utilizadas por el equipo que procesan datos Confidenciales o Restringidos de Lawra.

1.3. Esta política implementa el criterio SOC 2 CC9.2 (gestión de riesgos de proveedores).

2. Inventario de Proveedores

2.1. Lawra mantiene un Inventario de Proveedores actualizado, gestionado por el CTO con colaboración del Oficial de Cumplimiento. El inventario incluye para cada proveedor:

CampoDescripción
Nombre del proveedorRazón social
TipoSub-procesador / Infraestructura crítica / Servicios profesionales / SaaS interno
CriticidadCrítica / Alta / Media / Baja (ver Sección 3)
Servicio prestadoDescripción del servicio
Datos a los que accedeTipo y nivel de clasificación
DPA firmadoSí / No / N/A
Postura de seguridadSOC 2 / ISO 27001 / otro (con fecha del informe)
Data residencyUbicación geográfica de los datos
SLA de notificación de brechaHoras acordadas
Fecha de onboarding
Fecha de próxima revisión
Punto de contactoNombre + correo del representante del proveedor

2.2. El inventario se actualiza dentro de los 5 días hábiles siguientes a la incorporación, modificación o terminación de cualquier proveedor.

3. Clasificación por Criticidad

3.1. Cada proveedor es clasificado según el impacto potencial de su fallo, compromiso o incumplimiento:

NivelCriteriosEjemplos en Lawra
CríticaProveedor sin el cual el producto no puede operar; o accede a datos Restringidos o PII masivaFirebase / Google Cloud, Gemini API, GitHub, proveedor de pagos
AltaProveedor cuya interrupción genera degradación significativa del servicio; accede a datos ConfidencialesGoogle Workspace, proveedor de CDN, herramienta de monitoreo
MediaProveedor que accede a datos Internos; su interrupción es tolerable a corto plazoHerramientas de productividad (Notion, Figma), plataformas de comunicación interna
BajaProveedor que solo accede a datos Públicos o sin acceso a datos de LawraProveedores de marketing, redes sociales, servicios de publicidad

4. Due Diligence Pre-Onboarding

4.1. Antes de contratar cualquier proveedor de criticidad Crítica o Alta, el CTO y el Oficial de Cumplimiento realizan una revisión de due diligence que abarca:

4.1.1. — Postura de seguridad:

  • ¿Cuenta con certificación SOC 2 Type 2 o equivalente (ISO/IEC 27001, STAR CSA nivel 2)?
  • Si no, ¿qué controles alternativos tiene? ¿Acepta cuestionario de seguridad (ej. SIG, CAIQ)?
  • ¿Tiene historial documentado de brechas de datos relevantes? ¿Cómo respondió?

4.1.2. — Protección de datos:

  • ¿Tiene DPA disponible (o acepta el DPA de Lawra)?
  • ¿En qué jurisdicciones procesa y almacena datos? ¿Cumple con los requisitos de residencia de datos relevantes para los clientes de Lawra (UE para GDPR, etc.)?
  • ¿Cuál es su SLA de notificación de brecha? Lawra requiere como mínimo notificación dentro de 72 horas del descubrimiento de un incidente que afecte datos de clientes de Lawra.
  • ¿Utiliza sub-procesadores propios? ¿Los divulga? ¿Permite auditoría?

4.1.3. — Continuidad del servicio:

  • ¿Tiene SLA de disponibilidad documentado?
  • ¿Tiene plan de continuidad del negocio (BCP) o plan de recuperación ante desastres (DRP)?
  • ¿Ofrece exportación de datos / portabilidad para facilitar transición en caso de terminación?

4.1.4. — Aspectos comerciales y legales:

  • ¿Tiene la solidez financiera y reputación de mercado para ser un proveedor de largo plazo?
  • ¿Sus Términos de Servicio son compatibles con las obligaciones contractuales de Lawra con sus clientes?
  • ¿Sus condiciones de uso de datos permiten el uso que Lawra necesita hacer?

4.2. Para proveedores de criticidad Media, la due diligence puede ser simplificada: revisión de ToS, verificación de medidas de seguridad básicas y firma de NDA si procesa datos Internos.

4.3. Para proveedores de criticidad Baja, no se requiere proceso formal de due diligence.

4.4. Los resultados de la due diligence se documentan en el Inventario de Proveedores y en un expediente archivado por el Oficial de Cumplimiento.

5. Ejecución de Acuerdos de Procesamiento de Datos (DPA)

5.1. Todo sub-procesador que procesa datos personales de clientes de Lawra debe firmar un DPA antes de recibir acceso a dichos datos. Sin DPA firmado: no hay acceso.

5.2. El DPA de Lawra con sub-procesadores debe incluir como mínimo:

  • Descripción del tratamiento (finalidad, tipo de datos, categorías de interesados, duración).
  • Obligación del sub-procesador de actuar solo bajo instrucciones documentadas de Lawra.
  • Medidas técnicas y organizativas de seguridad comprometidas por el sub-procesador.
  • SLA de notificación de brechas (máximo 72 horas).
  • Derechos de auditoría de Lawra.
  • Obligaciones ante solicitudes de derechos de interesados.
  • Restricciones de sub-sub-procesamiento (requiere autorización previa de Lawra).
  • Obligaciones de devolución y borrado de datos al término de la relación comercial.
  • Jurisdicción y ley aplicable.

5.3. Si el sub-procesador es un proveedor grande (Google, OpenAI, etc.) con un DPA estándar no negociable, Lawra evalúa si dicho DPA cumple con las garantías mínimas requeridas antes de aceptarlo. Esta evaluación es documentada.

6. Divulgación de Sub-Procesadores a Clientes

6.1. Lawra publica y mantiene actualizada una Lista de Sub-Procesadores accesible a sus clientes, referenciada en el DPA cliente (Anexo 1 o sección equivalente).

6.2. La lista incluye para cada sub-procesador divulgado:

  • Nombre y razón social.
  • País de procesamiento.
  • Descripción del servicio prestado.

6.3. Cuando Lawra incorpora un nuevo sub-procesador que procesa datos de clientes, notifica a los clientes con 30 días de antelación (o el período acordado en el DPA del cliente), dándoles la oportunidad de objetar si el nuevo sub-procesador genera conflicto con sus requisitos de privacidad.

6.4. La lista es mantenida por el Oficial de Cumplimiento y actualizada junto con el Inventario de Proveedores.

7. Revisión Periódica de Proveedores

7.1. Los proveedores de criticidad Crítica y Alta son revisados anualmente. La revisión incluye:

  • Verificación de vigencia del SOC 2 u otra certificación (solicitar informe actualizado).
  • Revisión de cambios en sus ToS, Política de Privacidad o prácticas de sub-procesamiento.
  • Revisión de incidentes de seguridad ocurridos durante el año.
  • Verificación de que el DPA vigente sigue siendo adecuado.
  • Evaluación de la relación calidad-precio y alternativas de mercado.

7.2. Los proveedores de criticidad Media son revisados cada 2 años o ante cambios materiales en el servicio.

7.3. Si durante la revisión se identifica un riesgo no mitigado (ej. el proveedor no renovó su SOC 2, tuvo una brecha significativa, o cambió sus condiciones de forma incompatible), el Oficial de Cumplimiento escala el hallazgo al Gerente para decisión: continuar con plan de remediación acordado con el proveedor, o iniciar proceso de transición a alternativa.

8. Proceso de Terminación y Offboarding de Proveedores

8.1. Al decidir la terminación de la relación con un proveedor, el CTO coordina el proceso de offboarding:

8.1.1. — Revocar accesos:

  • Revocar credenciales, API keys, accesos a repositorios o dashboards del proveedor dentro de 24 horas de la decisión de terminación.
  • Cambiar contraseñas o secretos compartidos con el proveedor.

8.1.2. — Datos en posesión del proveedor:

  • Exigir al proveedor la devolución de todos los datos de Lawra o de clientes de Lawra en su posesión, en formato utilizable, dentro del plazo acordado en el contrato (mínimo 30 días desde la notificación).
  • Una vez devueltos, exigir eliminación segura de los datos del proveedor y obtener certificado de borrado por escrito.
  • Si el proveedor no puede emitir certificado de borrado, documentar la mejor garantía alternativa obtenida.

8.1.3. — Documentación:

  • Actualizar el Inventario de Proveedores con fecha de terminación y estado del proceso de borrado.
  • Notificar a los clientes si el sub-procesador eliminado estaba listado en el Anexo 1 del DPA.

8.2. En caso de terminación por incumplimiento material del proveedor (ej. brecha de datos no notificada oportunamente, incumplimiento del DPA), el Oficial de Cumplimiento evalúa si existe obligación de notificación a autoridades reguladoras o a los interesados afectados.

9. Gestión de Riesgos de Concentración

9.1. Lawra reconoce el riesgo de dependencia de proveedores únicos (vendor lock-in), particularmente en:

  • Infraestructura cloud (Firebase / Google Cloud).
  • Modelos de IA (Gemini API).

9.2. El CTO elabora y mantiene actualizado un plan de contingencia de continuidad que identifica alternativas técnicamente viables para los proveedores de criticidad Crítica, con estimación del tiempo y costo de migración.

9.3. Este plan se revisa anualmente junto con la evaluación de riesgos.

10. Sanciones Internas

10.1. Contratar un proveedor de criticidad Crítica o Alta sin completar el proceso de due diligence o sin DPA firmado (cuando aplique) constituye una violación de esta política y es reportada a la Asamblea.

10.2. Los empleados o contratistas que introduzcan herramientas no aprobadas que procesen datos de clientes están sujetos a acciones disciplinarias conforme a la AUP Interna (aup-internal).

11. Referencias Normativas

  • SOC 2 Trust Services Criteria: CC9.2 (Gestión de riesgo de proveedores y socios de negocios)
  • GDPR Art. 28 — Encargado del tratamiento; requisitos de DPA con sub-encargados
  • Ley No. 172-13 (R.D.) — Art. 26 y ss. sobre transferencia a terceros y medidas de seguridad
  • ISO/IEC 27001:2022 — A.5.19 a A.5.22 (Seguridad en relaciones con proveedores)
  • NIST SP 800-161 — Cybersecurity Supply Chain Risk Management Practices

12. Revisión Periódica

Esta política se revisa anualmente, idealmente junto con el ciclo de evaluación de riesgos, para incorporar cambios en el portafolio de proveedores, el entorno regulatorio o las mejores prácticas del mercado.

Próxima revisión: [fecha de adopción + 12 meses].

Adoptada por la Asamblea General de Socios de LAWRA, S.R.L. en fecha [__], conforme consta en el Libro de Actas.

Por LAWRA, S.R.L. — Gerente

Comments

Loading comments...

0/2000 Comments are moderated before appearing.
Ctrl+K

No results found