|
CLAUSULA DE SEGURIDAD |
|
Las siguientes cláusulas constituyen el estándar mínimo de seguridad de la información exigido por el Hospital.
CLÁUSULA PRIMERA: Confidencialidad y Protección de Datos
• El proveedor deberá mantener estricta confidencialidad respecto de toda información a la que acceda en el marco del servicio,
cualquiera sea su formato o medio de acceso.
• El tratamiento de datos personales deberá cumplir con la Ley N° 19.628 sobre Protección de la Vida Privada, vigente al momento
de la contratación, y considerar los principios establecidos en la Ley N° 21.719 para efectos de adecuación progresiva.
• Queda expresamente prohibido el uso de los datos o información del Hospital para fines distintos de los establecidos en el contrato,
así como su comunicación o cesión a terceros no autorizados.
CLÁUSULA SEGUNDA: Seguridad de la Información
• El proveedor deberá implementar controles de seguridad de la información proporcionales a la criticidad del servicio y al tipo de
información tratada, equivalentes o superiores a los definidos por las normas ISO/IEC 27001 e ISO/IEC 27002, incluyendo los
controles 5.19 (Relación con Proveedores) y 5.23 (Servicios en la Nube) cuando corresponda, conforme a lo exigido por la
Resolución Exenta MINSAL N° 850.
• El Hospital mantiene en todo momento la propiedad, control y soberanía de sus datos e información, y el proveedor garantiza
protección contra accesos no autorizados, pérdida, alteración, tratamiento indebido o divulgación de dicha información.
Lo anterior implica que el proveedor no adquiere ningún derecho de propiedad, uso, cesión, explotación comercial ni reutilización
sobre la información del Hospital.
Asimismo, cualquier acceso, almacenamiento, procesamiento, respaldo, transferencia o eliminación de los datos deberá realizarse
únicamente conforme a las instrucciones del Hospital y dentro del marco del contrato suscrito
CLÁUSULA TERCERA: Accesos y Credenciales
• Los accesos otorgados al proveedor deberán ser controlados, individualizados, auditables y otorgados exclusivamente para fines
operativos asociados al servicio contratado.
• El proveedor deberá solicitar oportunamente la creación, modificación y eliminación de las credenciales de acceso de su
personal autorizado.
• El proveedor deberá garantizar trazabilidad completa de cada acceso realizado por su personal, incluyendo a lo menos:
o Identidad del técnico o usuario que accede.
o Fecha y hora de inicio y término del acceso.
o o Actividades realizadas.
o o Sistema o componente intervenido.
o Medio o canal de conexión utilizado.
o Los registros deberán mantenerse por un período mínimo de 24 meses y ser entregados al Hospital cuando éste lo
solicite
CLÁUSULA QUINTA: Notificación de Incidentes de Seguridad
• El proveedor deberá notificar al Hospital de forma inmediata y obligatoria todo incidente de seguridad de la información, en especial
aquellos de carácter crítico, que afecte o pueda afectar la confidencialidad, integridad o disponibilidad de la información institucional,
en un plazo máximo de una (1) hora contado desde su detección o desde el momento en que razonablemente debió haber tomado
conocimiento del incidente. La notificación inicial no podrá ser diferida por encontrarse el incidente en análisis y deberá realizarse
aun cuando la información disponible sea preliminar.
• Dicha notificación deberá incluir, a lo menos, una descripción general del incidente,su impacto estimado, las medidas de contención
adoptadas y un punto de contacto técnico del proveedor. El proveedor deberá complementar la información inicialmente entregada
a medida que disponga de nuevos antecedentes y colaborar activamente con el Hospital para el cumplimiento de las obligaciones
de reporte ante la autoridad sectorial competente, conforme a la Ley Marco de Ciberseguridad.
• El proveedor deberá complementar la información inicialmente entregada a medida que disponga de nuevos antecedentes, y
colaborar activamente con el Hospital para el cumplimiento de las obligaciones de reporte ante la autoridad sectorial competente,
conforme a la Ley Marco de Ciberseguridad.
CLÁUSULA SEXTA: Continuidad Operativa
• El proveedor deberá contar con planes de continuidad operativa y recuperación ante incidentes que aseguren la prestación del
servicio contratado.
• Dichos planes deberán ser puestos a disposición del Hospital cuando éste lo solicite para efectos de evaluación o verificación.
CLÁUSULA SÉPTIMA: Término del Servicio
• Al finalizar el contrato o servicio, el proveedor deberá devolver al Hospital toda la información institucional que haya sido tratada,
almacenada o generada en el marco del servicio, en el formato que el Hospital solicite, asegurando que dicha información sea
legible, íntegra y utilizable al momento de su entrega.
• En caso de que la información se encuentre cifrada o protegida mediante mecanismos de seguridad, el proveedor deberá entregar
las claves, credenciales o medios necesarios que permitan al Hospital acceder plenamente a dicha información.
• Cuando el Hospital así lo solicite, el proveedor deberá emitir un certificado de eliminación segura de las copias de información que
permanezcan en su poder una vez finalizado el contrato.
• Cuando el servicio implique tratamiento de datos personales o sensibles, el proveedor tendrá la calidad de Encargado de
Tratamiento, debiendo actuar exclusivamente bajo instrucción documentada del Hospital, en conformidad con la normativa vigente
y la Resolución Exenta MINSAL N° 850
|
|
|
|