Workflow: Vendor / Sub-processor Approval
Runbook operativo. Regula la selección y aprobación de todo proveedor que procesa datos de Lawra o de sus clientes, asegurando cumplimiento con la Política de Gestión de Proveedores, el DPA estándar y las obligaciones de divulgación. Aprobado por la Asamblea en [__]. Versión: 1.0.
1. Trigger
- Un miembro del equipo propone contratar un nuevo proveedor de software, servicio en la nube, herramienta de terceros o consultor con acceso a datos.
- Un proveedor existente cambia de términos, es adquirido, o extiende el alcance de su procesamiento de datos.
- Durante el proceso de certificación SOC 2 se identifican proveedores no documentados.
- Un cliente Enterprise solicita conocer la lista actualizada de sub-procesadores (conforme al DPA).
2. Roles y Responsabilidades (RACI)
| Tarea | Responsable | Aprobador | Consultado | Informado |
|---|---|---|---|---|
| Propuesta y justificación del proveedor | Solicitante (cualquier empleado) | — | — | Luishy Medina |
| Evaluación técnica y de seguridad | Luishy Medina (CTO) | — | Solicitante | — |
| Evaluación legal / privacidad | Tanya Mejía-Ricart | — | Ana Carolina Blanco | — |
| Decisión de aprobación | Carlos Miranda Levy | Asamblea (si >$10K/año) | Tanya + Luishy | CCO |
| Negociación y firma del DPA con proveedor | Tanya Mejía-Ricart | Carlos Miranda Levy | — | CCO |
| Actualización del Registro de Sub-procesadores | Tanya / Luishy | — | — | Carlos |
| Notificación a clientes (Anexo 1 DPA) | Ydarlis Cabrera (CCO) | Tanya | — | Carlos |
| Revisión periódica del proveedor | Luishy Medina | Carlos Miranda Levy | Tanya | — |
3. Clasificación de Proveedores
Antes de iniciar el proceso, el solicitante clasifica el proveedor:
| Tipo | Definición | Proceso aplicable |
|---|---|---|
| Sub-encargado (Sub-processor) | Procesa datos personales de clientes de Lawra en nombre de Lawra | Proceso completo (Fases 1–5) |
| Proveedor con datos internos | Accede a datos internos de Lawra (empleados, finanzas, código fuente) pero NO datos de clientes | Proceso simplificado (Fases 1–3) |
| Proveedor sin datos | Herramienta que no accede a ningún dato personal ni confidencial (ej. software de diseño offline, licencias de fuentes) | Registro básico + aprobación del Gerente |
4. Pasos Numerados
Fase 1 — Propuesta Inicial (Day 0)
Paso 1 — Formulario de solicitud de proveedor: El solicitante completa un formulario (correo estructurado o formulario interno) con:
- Nombre del proveedor y sitio web.
- Servicio / función que proveerá.
- Datos a los que tendrá acceso (tipo, volumen, jurisdicción).
- Costo estimado (mensual / anual).
- Alternativas evaluadas (mínimo 1).
- Por qué esta opción es la mejor.
- ¿Es un sub-procesador que accederá a datos de clientes? Sí / No.
Paso 2 — Registro en pipeline de evaluación: Luishy registra la solicitud en el tracker de proveedores (hoja o sistema de gestión). Se asigna un número de solicitud y se notifica al solicitante que el proceso inició.
Fase 2 — Evaluación de Seguridad (Day 1–5)
Paso 3 — Revisión documental de seguridad: Luishy solicita al proveedor y/o revisa en su sitio:
- Política de seguridad de la información / ISMS.
- Certificaciones: SOC 2 Type II (preferido), ISO 27001, o equivalente.
- Informe de pen test reciente (si no hay SOC 2).
- Política de gestión de vulnerabilidades y parches.
- Política de acceso y autenticación.
- Procedimiento de notificación de brechas (¿cuánto tiempo para notificar a Lawra?).
Decisión A: ¿El proveedor tiene SOC 2 Type II o ISO 27001 vigente?
- Sí → Continuar al Paso 5.
- No → Paso 4 (evaluación extendida).
Paso 4 — Cuestionario de seguridad extendido (si no hay certificación): Luishy envía al proveedor el cuestionario de seguridad de Lawra (basado en CAIQ / VSA estándar del sector). El proveedor tiene 10 días para responder. Si no responde o la respuesta es insatisfactoria → propuesta rechazada.
Paso 5 — Scoring de seguridad: Luishy documenta un scoring de seguridad del proveedor (Alto / Medio / Bajo riesgo). Criterios: certificaciones, historial de brechas públicas, mecanismos de cifrado, gestión de accesos, resiliencia.
Fase 3 — Evaluación Legal y de Privacidad (Day 3–8)
Paso 6 — Revisión de términos y privacidad: Tanya revisa:
- Términos de servicio y/o contrato propuesto por el proveedor.
- Política de privacidad del proveedor.
- Datos de sub-procesadores del proveedor (¿a quién subcontrata?).
- Transferencias internacionales de datos y mecanismos de adecuación (SCCs, BCRs, etc.).
- Jurisdicción de los servidores y data centers.
- Cláusulas de confidencialidad y propiedad intelectual.
Paso 7 — Evaluación de necesidad de DPA: Tanya determina si el proveedor califica como sub-encargado de datos. Criterio: el proveedor procesa datos personales de clientes de Lawra en nombre de Lawra → DPA obligatorio.
Decisión B: ¿El proveedor procesa datos personales de clientes de Lawra?
- Sí → Sub-encargado → DPA obligatorio (continuar Fase 4).
- No → Proveedor con datos internos (continuar directamente a Fase 5 con NDA/confidencialidad).
Fase 4 — Ejecución del DPA con Sub-encargados (Day 8–15)
Paso 8 — Negociación del DPA: Tanya inicia la negociación del DPA con el equipo legal del proveedor. Lawra utiliza su template de DPA por defecto; si el proveedor tiene su propio DPA, Tanya lo revisa y redlinea. Puntos no negociables:
- Plazo de notificación de brechas: máximo 72 horas a Lawra desde que el proveedor detecta la brecha.
- Obligación de eliminación de datos al término del contrato.
- Prohibición de uso de datos de clientes de Lawra para entrenar modelos de IA propios.
- Cooperación con auditorías de Lawra o de sus clientes (con aviso previo razonable).
- Lista de sub-procesadores del proveedor aceptada y actualizable con aviso.
Paso 9 — Firma del DPA:
Una vez negociado, Tanya y Carlos Miranda Levy firman en representación de Lawra. El proveedor firma. Archivo almacenado en /contratos/proveedores/{nombre-proveedor}/dpa.pdf.
Paso 10 — Registro en el Registro de Sub-procesadores: Tanya actualiza el Registro de Sub-procesadores con: nombre del proveedor, servicio, tipos de datos procesados, jurisdicción de los servidores, fecha del DPA, vencimiento del contrato, URL del DPA del proveedor (para referencia de clientes).
Paso 11 — Notificación a clientes Enterprise (Anexo 1 DPA): CCO notifica a todos los clientes Enterprise con DPA vigente que Lawra ha incorporado un nuevo sub-encargado al Anexo 1. Notificación con 30 días de anticipación (o el plazo indicado en el DPA específico del cliente). Si un cliente Enterprise objeta el nuevo sub-procesador, CCO y Tanya evalúan la objeción; si es infundada, el cliente puede ejercer terminación anticipada según el MSA.
Fase 5 — Aprobación Final y Contratación (Day 10–20)
Paso 12 — Memo de aprobación: Luishy y Tanya preparan un memo de aprobación de máximo 1 página con: nombre del proveedor, servicio, costo, scoring de seguridad, resumen de DPA (si aplica), recomendación. El memo va a Carlos Miranda Levy para aprobación.
Decisión C: ¿El contrato supera $10,000 USD / año?
- Sí → La aprobación requiere ratificación en la próxima reunión de Asamblea o por circular de socios.
- No → Carlos Miranda Levy aprueba unilateralmente.
Paso 13 — Firma del contrato principal:
Carlos Miranda Levy firma el contrato de servicio con el proveedor. Si el contrato incluye MSA y Order Form, Tanya revisa antes de firmar. Archivo almacenado en /contratos/proveedores/{nombre-proveedor}/contrato.pdf.
Paso 14 — Onboarding técnico del proveedor: Luishy configura el acceso del proveedor siguiendo el Workflow de Onboarding de Accesos (ver Política de Control de Acceso):
- Acceso de mínimo privilegio.
- MFA obligatorio si el proveedor recibe credenciales de Lawra.
- Logging activado para todas las interacciones del proveedor con sistemas de Lawra.
- Fecha de revisión periódica agendada.
Fase 6 — Monitoreo Continuo
Paso 15 — Revisión anual del proveedor: Luishy realiza una revisión anual de cada proveedor:
- ¿Sigue activo el contrato y siendo necesario?
- ¿Ha renovado o actualizado su SOC 2 / ISO 27001?
- ¿Ha habido brechas o incidentes reportados por el proveedor?
- ¿Han cambiado sus sub-procesadores?
- ¿El costo sigue siendo competitivo?
Si la revisión levanta alertas, se escala a Tanya y Carlos Miranda Levy.
Paso 16 — Monitoreo de brechas del proveedor: Luishy se suscribe a alertas de la página de status del proveedor y a avisos de seguridad. Si el proveedor reporta una brecha que potencialmente afecta datos de clientes de Lawra, se activa el Plan de Respuesta a Incidentes inmediatamente.
5. Puntos de Decisión
| Decisión | Opciones |
|---|---|
| A — ¿Tiene SOC 2 / ISO 27001? | Sí → evaluación simplificada / No → cuestionario extendido |
| B — ¿Es sub-encargado (datos de clientes)? | Sí → DPA obligatorio / No → solo NDA / confidencialidad |
| C — ¿Contrato > $10K/año? | Sí → ratificación de Asamblea / No → aprobación del Gerente |
| D — ¿Cliente Enterprise objeta nuevo sub-procesador? | Evaluar objeción → si fundada, buscar alternativa; si infundada, derecho de terminación del cliente |
6. Outputs / Artifacts
- Formulario de solicitud de proveedor completado.
- Scoring de seguridad documentado.
- DPA firmado (si sub-encargado).
- Contrato de servicio firmado.
- Registro de Sub-procesadores actualizado.
- Notificación a clientes Enterprise enviada (Anexo 1).
- Memo de aprobación archivado.
7. Checklist Final
- Solicitud de proveedor completada y registrada.
- Evaluación de seguridad completada (SOC 2 o cuestionario).
- Evaluación legal / privacidad completada por Tanya.
- DPA negociado y firmado (si aplica).
- Registro de Sub-procesadores actualizado.
- Clientes Enterprise notificados del nuevo sub-procesador (si aplica).
- Contrato firmado y archivado.
- Acceso técnico configurado con mínimo privilegio + MFA.
- Fecha de revisión anual agendada.
8. Métricas / KPIs
| Métrica | Objetivo |
|---|---|
| Cycle time de aprobación (solicitud → contrato firmado) | < 20 días hábiles |
| % de sub-encargados con DPA firmado | 100 % |
| % de proveedores con SOC 2 o ISO 27001 vigente | > 80 % de la cartera por volumen de gasto |
| Proveedores sin revisión anual | 0 |
| Tiempo de notificación a clientes tras nuevo sub-procesador | ≤ 30 días |
9. Referencias
- Política de Gestión de Proveedores (orden 32 aprox.)
- Data Processing Agreement (DPA template Lawra)
- Política de Control de Acceso (orden 30)
- Plan de Respuesta a Incidentes (orden 31)
- Ley 172-13 (Protección de Datos, R.D.) — obligaciones del Responsable sobre sub-encargados
- GDPR Art. 28 — contratos con encargados del tratamiento y sub-encargados
- LGPD Art. 37 — registro de operaciones de tratamiento
- NIST SP 800-161 — Cybersecurity Supply Chain Risk Management
10. Auditoría
| Registro | Retención | Evidencia SOC 2 |
|---|---|---|
| Formulario de solicitud y scoring de seguridad | 5 años | CC9.2 — Vendor and business partner risk management |
| DPA firmado con sub-encargados | Vigencia + 7 años | CC9.2 |
| Contrato firmado | Vigencia + 7 años | CC9.2 |
| Registro de Sub-procesadores | Actualización continua; retener histórico 5 años | CC9.2 / A1.2 |
| Notificaciones a clientes (Anexo 1) | 5 años | CC2.3 |
| Revisiones anuales de proveedores | 5 años | CC9.2 |
Adoptado por la Asamblea General de Socios en fecha [__]. Próxima revisión: [fecha + 12 meses].
Por LAWRA, S.R.L. — Gerente
Comments
Loading comments...