Saltar al contenido principal
Responsable del SOP: Operaciones / Legal — Última revisión: [Fecha] — ID: SOP-OPS-002

Descripción general

Este SOP cubre el ciclo de vida completo de las relaciones con proveedores externos en Blevins Holdings — desde la evaluación de un nuevo proveedor hasta la gestión activa y la eventual desvinculación. Todos los proveedores deben pasar por este proceso antes de recibir pagos o acceso a datos o sistemas de la empresa. Por qué esto importa: Los proveedores son una extensión de nuestras operaciones. Una falla de seguridad, una brecha de cumplimiento o una interrupción del servicio de un proveedor puede impactar directamente a Blevins y a nuestros clientes. La gestión estructurada de proveedores reduce ese riesgo. Partes interesadas clave:
RolResponsabilidad
Responsable del negocioIdentifica la necesidad, promueve la relación con el proveedor
Seguridad de TIRevisa la postura de seguridad del proveedor y el manejo de datos
LegalRevisa y ejecuta contratos
FinanzasManeja pagos, rastrea contratos en el registro de proveedores
OperacionesSupervisa el proceso y mantiene el registro de proveedores

Registro de proveedores

Todos los proveedores activos se rastrean en el Registro de Proveedores, mantenido por Operaciones/Finanzas en [enlace al registro de proveedores — ej., en Notion, Airtable, Google Sheets]. El registro incluye: nombre del proveedor, categoría, valor del contrato, fecha de finalización del contrato, fecha de renovación, responsable del negocio, nivel de riesgo, fecha de última revisión.

Niveles de riesgo de proveedores

A los proveedores se les asigna un nivel de riesgo basado en su acceso a datos y sistemas de la empresa:
NivelDescripciónEjemplos
Nivel 1 — CríticoAcceso a sistemas de producción, datos sensibles o infraestructura críticaProveedores de nube, nómina, HRMS, herramientas de seguridad
Nivel 2 — SignificativoAcceso a sistemas internos o datos no públicos, o dependencia operativa significativaSoftware de contabilidad, CRM, gestión de proyectos
Nivel 3 — EstándarSin acceso a sistemas de datos; compras administrativas o puntualesSuministros de oficina, lugares para eventos, agencias de marketing
El nivel de riesgo determina la profundidad de la debida diligencia y la frecuencia de revisión.

Pasos del proceso

1

Enviar una solicitud de proveedor

Quién: Responsable del negocioAntes de contratar a cualquier nuevo proveedor, el responsable del negocio envía una Solicitud de Proveedor usando [formulario de admisión de TI/Operaciones — enlace por agregar]. La solicitud debe incluir:
  • Nombre del proveedor, sitio web y contacto
  • Qué proporcionarán y por qué este proveedor (vs. un contrato existente)
  • Valor estimado del contrato y duración
  • Si el proveedor tendrá acceso a datos de la empresa o de clientes (y si es así, qué tipo)
  • Si al proveedor se le dará acceso a algún sistema o red de la empresa
  • Código de presupuesto y aprobación del director de departamento (para contratos superiores a $[X])
No se registre en un servicio de proveedor, comparta datos de la empresa ni otorgue ningún acceso hasta que este proceso esté completo. El uso no autorizado de proveedores viola la Política de Adquisiciones y puede crear responsabilidad legal o de seguridad.
2

Revisión inicial y asignación del nivel de riesgo

Quién: OperacionesOperaciones revisa la solicitud y asigna al proveedor un nivel de riesgo (Nivel 1, 2 o 3). El nivel determina los pasos de revisión restantes.
NivelRevisión requerida
Nivel 1 — CríticoRevisión de seguridad de TI + revisión de Legal + aprobación de Finanzas
Nivel 2 — SignificativoRevisión de seguridad de TI (abreviada) + revisión de Legal
Nivel 3 — EstándarCertificación del responsable del negocio + aprobación de Finanzas
Operaciones notifica al responsable del negocio del nivel asignado y dirige la solicitud a los revisores correspondientes.
3

Revisión de seguridad de TI

Quién: Seguridad de TIRequerida para proveedores de Nivel 1 y Nivel 2. Seguridad de TI evalúa la postura de seguridad del proveedor y sus prácticas de manejo de datos. La revisión cubre:
  • Manejo de datos: ¿Qué datos accederá, almacenará o procesará el proveedor? ¿Dónde? ¿Por cuánto tiempo?
  • Certificaciones: ¿El proveedor tiene SOC 2 Type II, ISO 27001 o equivalente?
  • Cifrado: ¿Los datos están cifrados en reposo y en tránsito?
  • Controles de acceso: ¿El proveedor tiene autenticación fuerte y controles de acceso de mínimo privilegio?
  • Historial de incidentes: ¿Alguna violación de datos o incidente de seguridad conocido?
  • Sub-procesadores: ¿El proveedor utiliza sub-procesadores? Si es así, ¿están divulgados?
  • Continuidad del negocio: ¿El proveedor tiene un BCP documentado?
Seguridad de TI puede solicitar la documentación de seguridad del proveedor (informe SOC 2, resumen de prueba de penetración, respuesta al cuestionario de seguridad). Los proveedores que no puedan proporcionar documentación adecuada no serán aprobados para relaciones de Nivel 1 o 2.Cronograma típico: 3–5 días hábiles para Nivel 2; 1–2 semanas para Nivel 1.
4

Revisión legal y ejecución del contrato

Quién: LegalTodos los proveedores deben tener un acuerdo firmado antes de que comience cualquier trabajo o se compartan datos. Legal revisa los contratos de proveedores para:
  • Acuerdo de Procesamiento de Datos (DPA): Requerido para cualquier proveedor que procese datos personales o datos de la empresa
  • Cláusulas de responsabilidad e indemnización
  • Propiedad intelectual — asegurar que Blevins retenga los derechos sobre sus datos y producto del trabajo
  • Disposiciones de terminación y salida — cómo se devuelven o eliminan los datos al finalizar el contrato
  • SLAs y remedios
  • Certificaciones y representaciones de cumplimiento
Legal utiliza la plantilla estándar de proveedor de Blevins cuando sea posible. Las desviaciones de los términos estándar requieren la aprobación escrita de Legal.
Nadie excepto los firmantes designados (según lo determinado por la política de autoridad de firma) puede firmar contratos en nombre de Blevins Holdings. No firme acuerdos con proveedores por su cuenta.
5

Agregar al registro de proveedores y aprovisionar acceso

Quién: Operaciones (registro); TI (acceso)Una vez que todas las aprobaciones estén completas y el contrato esté firmado:
  1. Operaciones agrega al proveedor al Registro de Proveedores con todos los detalles relevantes
  2. TI aprovisiona cualquier acceso requerido al sistema con principios de mínimo privilegio — solo el acceso que el proveedor necesita, nada más
  3. El responsable del negocio recibe confirmación de que el proveedor está activo
Para compartir datos: TI configura el método aprobado de transferencia de datos (transferencia segura de archivos, API con autenticación, correo electrónico cifrado, etc.) antes de que se compartan datos con el proveedor.

Gestión continua de proveedores

Monitoreo de rendimiento

Los responsables del negocio son responsables de monitorear el rendimiento del proveedor contra los SLAs y entregables contratados. Los problemas de rendimiento significativos deben documentarse y escalarse a Operaciones y Legal si pueden afectar el contrato. Registre las notas de rendimiento del proveedor en el Registro de Proveedores.

Revisión anual de proveedores

Todos los proveedores activos se revisan anualmente. La revisión incluye:
ElementoDetalles
Evaluación de rendimientoEl responsable del negocio evalúa si el proveedor cumple con las expectativas
Actualización de revisión de seguridadProveedores de Nivel 1 y 2: TI solicita documentación de seguridad actualizada
Revisión del contrato¿El contrato sigue siendo adecuado para su propósito? ¿El precio es competitivo?
Reevaluación de riesgo¿Ha cambiado el nivel de riesgo del proveedor?
Decisión de renovación¿Renovar, renegociar o desvincular?
Operaciones coordina la revisión anual y notifica a los responsables del negocio al menos 60 días antes de las fechas de renovación del contrato.

Manejo de incidentes con proveedores

Si un proveedor experimenta una violación de datos, un incidente de seguridad o una interrupción significativa del servicio que afecte a Blevins:
  1. Notifique a Seguridad de TI inmediatamente a security@blevinsholdings.com
  2. Notifique a Legal si pueden haberse visto involucrados datos personales
  3. Invoque las obligaciones del SLA y de respuesta a incidentes del proveedor bajo el contrato
  4. Documente el incidente en el Registro de Proveedores
  5. Si es apropiado, inicie una revisión de la relación con el proveedor

Desvinculación de un proveedor

Cuando una relación con un proveedor termina (contrato no renovado, proveedor reemplazado o terminado por causa):
1

Notificar a TI y Operaciones

El responsable del negocio notifica a TI y Operaciones al menos 30 días antes de la fecha de finalización (o inmediatamente si la terminación es por causa).
2

Devolución y eliminación de datos

TI confirma que todos los datos de la empresa o de clientes en poder del proveedor sean devueltos o destruidos según los términos del contrato. El proveedor proporciona confirmación escrita de la eliminación de datos.
3

Revocar acceso

TI revoca todo el acceso al sistema y las credenciales de API en o antes de la fecha de finalización del contrato. La revocación de acceso se confirma y registra.
4

Pago final y cierre

Finanzas procesa cualquier factura final y marca el contrato como cerrado en el registro de proveedores.
5

Archivar en el registro de proveedores

Operaciones actualiza el registro de proveedores para reflejar el estado inactivo del proveedor. Los registros se retienen según el calendario de retención de registros.

Lista de verificación de debida diligencia del proveedor

Use esta lista de verificación para evaluaciones de proveedores de Nivel 1 y Nivel 2: Seguridad y cumplimiento
  • Obtenido y revisado el informe SOC 2 Type II (o equivalente) de los últimos 12 meses
  • Confirmado que los datos están cifrados en reposo y en tránsito
  • Confirmado que el proveedor tiene procedimientos documentados de respuesta a incidentes y notificación de violaciones
  • Revisada la lista de sub-procesadores del proveedor
  • Confirmado que se requiere MFA para el acceso de los empleados del proveedor a los sistemas que contienen nuestros datos
Legal y contractual
  • DPA firmado (si el proveedor procesa datos personales)
  • SLAs documentados y aceptables
  • Disposición de eliminación/devolución de datos incluida
  • Propiedad de PI y derechos sobre el producto del trabajo claramente definidos
  • Disposición de terminación por conveniencia incluida
Financiero y operativo
  • Finanzas o estabilidad del proveedor confirmadas (para proveedores críticos)
  • Capacidades de BCP/DR confirmadas
  • Referencias verificadas (para nuevas relaciones significativas)
Última actualización: [Fecha] — Responsable del SOP: Operaciones / Legal