Gestión de Proveedores
Evalúa y monitorea riesgos de seguridad de terceros.
Descripción General
La Gestión de Proveedores te ayuda a:
- Rastrear todos los proveedores terceros
- Evaluar postura de seguridad de proveedores
- Monitorear riesgo continuo de proveedores
- Gestionar documentación de proveedores
- Cumplir requisitos de cumplimiento para riesgo de terceros
Navega a Proveedores en la barra lateral.
Inventario de Proveedores
Registro de Proveedor
Cada proveedor incluye:
| Campo | Descripción |
|---|---|
| Nombre | Nombre de la empresa proveedora |
| Categoría | Categoría de servicio |
| Criticidad | Nivel de criticidad del negocio |
| Nivel de Riesgo | Nivel de riesgo evaluado |
| Estado | Activo, Inactivo, En Revisión |
| Propietario | Propietario de relación interno |
| Fin de Contrato | Fecha de expiración del contrato |
| Acceso a Datos | Tipos de datos accedidos |
Categorías de Proveedores
Organiza proveedores por tipo de servicio:
- Infraestructura en la Nube: AWS, Azure, GCP
- Aplicaciones SaaS: Software de negocio
- Herramientas de Desarrollo: CI/CD, repositorios de código
- Servicios de Seguridad: Pruebas de penetración, SOC
- Servicios Profesionales: Consultores
- Servicios de TI: MSPs, soporte
- RH/Nómina: Sistemas de empleados
- Financiero: Procesadores de pago
Añadir Proveedores
Entrada Manual
- Ve a Proveedores → Añadir Proveedor
- Ingresa detalles del proveedor:
- Nombre de empresa
- Categoría
- Contacto principal
- Servicios proporcionados
- Nivel de acceso a datos
- Haz clic en Crear
Importación Masiva
Importa múltiples proveedores:
- Haz clic en Importar
- Descarga plantilla CSV
- Completa datos de proveedores
- Sube archivo
- Revisa y confirma
Desde Integraciones
Función Profesional
El descubrimiento automático de proveedores requiere plan Professional o Enterprise.
Auto-descubre proveedores de:
- Marketplaces de proveedores de nube
- Catálogos de aplicaciones de proveedor SSO
- Sistemas de gestión de gastos
Evaluación de Riesgos
Niveles de Riesgo
Categoriza proveedores por nivel de riesgo:
| Nivel | Descripción | Frecuencia de Revisión |
|---|---|---|
| Nivel 1 (Crítico) | Acceso a datos sensibles, crítico para negocio | Trimestral |
| Nivel 2 (Alto) | Acceso moderado a datos, servicios importantes | Semestral |
| Nivel 3 (Medio) | Acceso limitado a datos, reemplazable | Anual |
| Nivel 4 (Bajo) | Sin acceso a datos, commoditizado | Cada 2 años |
Evaluación de Criticidad
Evalúa criticidad del proveedor basándose en:
- Acceso a Datos: ¿A qué datos pueden acceder?
- Impacto de Negocio: ¿Qué pasa si no están disponibles?
- Alcance de Cumplimiento: ¿Están en alcance de auditoría de cumplimiento?
- Profundidad de Integración: ¿Qué tan profundamente integrados están?
- Reemplazabilidad: ¿Qué tan fácilmente pueden ser reemplazados?
Evaluación de Seguridad
Evalúa seguridad del proveedor:
- Abre registro de proveedor
- Haz clic en pestaña Evaluaciones
- Haz clic en Iniciar Evaluación
- Completa cuestionario o sube respuestas del proveedor
- Revisa y puntúa
Cuestionario de Evaluación
El cuestionario incorporado cubre:
- Seguridad de la Información: Políticas, controles
- Gestión de Acceso: Autenticación, autorización
- Protección de Datos: Cifrado, manejo
- Respuesta a Incidentes: Notificación de brechas
- Continuidad del Negocio: DR, respaldos
- Cumplimiento: Certificaciones, auditorías
Señales de Confianza
Recopila evidencia de seguridad del proveedor:
| Señal | Peso | Ejemplo |
|---|---|---|
| Reporte SOC 2 | Alto | SOC 2 Type II |
| ISO 27001 | Alto | Certificación ISO |
| Reporte de Prueba de Penetración | Medio | Prueba de penetración anual |
| Política de Seguridad | Medio | Política publicada |
| Cuestionario | Bajo | SIG completado |
Puntuación de Riesgo
Cálculo automático de puntuación de riesgo:
Proveedor: Proveedor de Nube X
Factores de Riesgo:
- Acceso a Datos: PII de Clientes (Alto)
- Criticidad: Crítico para negocio (Alto)
- Seguridad: SOC 2 Type II (Riesgo bajo)
- Cumplimiento: En alcance (Alto)
Puntuación de Riesgo: 68/100 (Medio)
Nivel Recomendado: Nivel 2Debida Diligencia
Evaluación Inicial
Para nuevos proveedores:
- Recopila información básica
- Determina nivel de criticidad
- Solicita documentación de seguridad
- Completa evaluación de riesgo
- Revisa con interesados
- Aprueba o rechaza
Recopilación de Documentación
Rastrea documentos requeridos:
| Documento | Requerido Para | Estado | Expira |
|---|---|---|---|
| Reporte SOC 2 | Nivel 1-2 | Recibido | Dic 2026 |
| Certificado de Seguro | Nivel 1-3 | Recibido | Jun 2026 |
| Prueba de Penetración | Nivel 1 | Pendiente | - |
| DPA | Todos | Recibido | - |
| BAA | HIPAA | Recibido | - |
Portal de Solicitudes
Función Profesional
El portal de autoservicio de proveedores requiere plan Professional o Enterprise.
Envía a proveedores un enlace para:
- Completar cuestionario de seguridad
- Subir documentación
- Actualizar información de empresa
Monitoreo Continuo
Monitoreo Continuo
Función Enterprise
El monitoreo continuo de proveedores requiere plan Enterprise.
Monitoreo automatizado para:
- Cambios en calificación de seguridad
- Alertas de noticias (brechas, incidentes)
- Cambios de certificado
- Menciones en dark web
Revisiones Programadas
Configura revisiones periódicas:
- Abre registro de proveedor
- Establece frecuencia de revisión según nivel
- El sistema envía recordatorios
- Completa lista de verificación de revisión
- Actualiza evaluación de riesgo
Lista de Verificación de Revisión
- [ ] Verificar proveedor aún activo
- [ ] Verificar incidentes de seguridad
- [ ] Revisar certificaciones actualizadas
- [ ] Evaluar cualquier cambio de servicio
- [ ] Actualizar inventario de datos
- [ ] Confirmar estado de contrato
- [ ] Revisar rendimiento de SLA
Gestión de Contratos
Detalles de Contrato
Rastrea información de contrato:
- Fecha de inicio
- Fecha de fin
- Términos de auto-renovación
- Período de aviso de terminación
- Términos clave
Alertas de Contrato
Recibe notificaciones para:
- Expiración de contrato (90, 60, 30 días)
- Fechas de auto-renovación
- Períodos de revisión requeridos
Seguimiento de SLA
Monitorea cumplimiento de SLA del proveedor:
Proveedor: Proveedor de Hosting
SLA: 99.9% uptime
Rendimiento:
Ene: 99.95% ✓
Feb: 99.92% ✓
Mar: 99.87% ✗
Abr: 99.94% ✓Mapeo de Cumplimiento
Requisitos de Marcos
Mapea proveedores a requisitos de cumplimiento:
SOC 2 CC9.2 - Gestión de Proveedores
Requerido:
- Mantener inventario de proveedores ✓
- Proceso de evaluación de riesgo ✓
- Monitoreo continuo ✓
- Revisión de contrato ✓
Evidencia:
- Reporte de inventario de proveedores
- Cuestionarios de evaluación
- Documentación de revisiónEvidencia de Auditoría
Genera paquetes de evidencia:
- Ve a Reportes → Reporte de Proveedores
- Selecciona período de tiempo
- Incluye:
- Inventario de proveedores
- Evaluaciones de riesgo
- Registros de revisión
- Exporta para auditores
Reportes
Panel de Proveedores
Resumen de Proveedores
Proveedores Totales: 45
Por Nivel de Riesgo:
Nivel 1 (Crítico) ███ 3 (7%)
Nivel 2 (Alto) ████████ 8 (18%)
Nivel 3 (Medio) ███████████████ 15 (33%)
Nivel 4 (Bajo) ███████████████████ 19 (42%)
Revisiones Vencidas (30 días): 5
Evaluaciones Pendientes: 2
Contratos Expirando: 3Reporte de Riesgo
Ver distribución de riesgo de proveedores:
| Nivel de Riesgo | Cantidad | % del Total |
|---|---|---|
| Alto Riesgo | 4 | 9% |
| Riesgo Medio | 12 | 27% |
| Bajo Riesgo | 29 | 64% |
Reporte de Cumplimiento
Muestra estado de cumplimiento de proveedores:
- Proveedores con SOC 2: 28 (62%)
- Proveedores con ISO 27001: 15 (33%)
- Proveedores con evaluaciones completadas: 40 (89%)
Acceso API
bash
# Listar proveedores
GET /api/v1/vendors?tier=1
# Obtener detalles de proveedor
GET /api/v1/vendors/{vendor_id}
# Crear proveedor
POST /api/v1/vendors
{
"name": "Cloud Provider Inc",
"category": "cloud_infrastructure",
"criticality": "critical",
"owner_id": "user_123"
}
# Actualizar evaluación
POST /api/v1/vendors/{vendor_id}/assessments
{
"type": "security",
"score": 75,
"notes": "Fuerte postura de seguridad"
}
# Subir documento
POST /api/v1/vendors/{vendor_id}/documents
Content-Type: multipart/form-dataConsulta Referencia API para documentación completa.
Mejores Prácticas
- Inventariar Todos los Proveedores: No omitas ningún tercero
- Nivel por Riesgo: Aplica escrutinio apropiado por nivel
- Recopilar Evidencia: Reúne SOC 2, certificados ISO
- Revisiones Regulares: Revisa según programación de nivel
- Rastrear Contratos: Monitorea expiraciones
- Documentar Todo: Mantén registro de auditoría
- Involucrar Interesados: Aporte de seguridad, legal, negocio