Saltar al contenido principal

Seguridad de la información

YPF Secreta

Información que provee a la organización de una ventaja competitiva, o que es esencial para el éxito técnico o financiero de un producto específico, servicio o proyecto. La difusión no autorizada de la misma puede tener un alto impacto en la continuidad de la cadena de valor del negocio y podría causar serios daños a los intereses de la compañía, su acceso es solo para personal autorizado de acuerdo a la normativa vigente.

Ejemplos de información YPF-Secreta:

  • Información sobre una adquisición o proyecto de inversión.
  • Información que podría impactar el valor de las acciones.
  • Información que tiene sensibilidad política, financiera o legal.
  • Información sobre una reorganización mayor o que tiene un gran impacto sobre los empleados.
  • Información de Patentes: desarrollo, fórmula o procedimiento que se esté trabajando en YPF y que haya intención de patentar.
  • Contratos estratégicos.
  • Internos: solo podrá acceder a este contenido los usuarios a quienes se les otorgó acceso específicamente. También debe usarse para información clasificada como “YPF - Habeas Data Sensible”.
  • Externos: para usuarios que no poseen id de red de YPF. También debe usarse para información clasificada como “YPF - Habeas Data Sensible”.
  • Rotulo: Documento: YPF-Secreto.

YPF Confidencial

Información que si se divulgara podría ocasionar un perjuicio a objetivos globales de negocio o de alguna de las actividades de YPF.

Ejemplos de información YPF-Confidencial:

  • Contratos.
  • Información de Clientes.
  • Información de Proveedores.
  • Internos: podrá acceder a este contenido cualquier usuario con ID de red de YPF. También debe usarse para información clasificada como “YPF - Habeas Data Confidencial”.
  • Externos: para usuarios que no poseen ID de red de YPF. También debe usarse para información clasificada como “YPF - Habeas Data Confidencial”.
  • Rotulo: Documento: YPF-Confidencial.

YPF Privada

información disponible para los empleados de la compañía y terceros (ej. contratistas) como parte de la rutina del negocio. Su difusión se hace en base al conocimiento para poder operar. Su difusión no autorizada podría afectar la consecución de objetivos particulares de determinadas áreas de la compañía.

Ejemplos de información YPF-Privada:

  • Emails internos, correos internos (que no contengan información de los puntos anteriores).
  • Normativas.
  • Memos.
  • Cuadros organizacionales.
  • Minutas de reunión.
  • Rotulo: Documento: YPF-Privado

YPF Pública

Información de libre circulación dentro y fuera de la compañía.

Ejemplo de información YPF-Pública:

  • Folletos de marketing aprobados para difusión.
  • Comunicados de prensa.
  • Búsquedas laborales externas.

Herramientas Frontend - Backend

Frontend

  • Vue.js v3.3.4 (o superior)
  • Bootstap v5.3.1 (o superior)
  • jQuery v3.7.0 (o superior)
  • jQuery UI - v1.12.1 (o superior)
  • jQuery-modal v0.9.2 (o superior)
  • jQuery Validation Plugin v1.19.5 (o superior)
  • jQuery fancyBox v3.0.1
  • Core-js v3.32 (o superior)
  • Modernizer v3.12 (o superior)
  • JS
  • CSS3
  • SASS
  • HTML5
  • React
  • Angular
  • TypeScript
  • IIS - v10.0 (o superior)

Backend

Bases de datos

  • SQL Server
  • Oracle
  • MySQL
  • PostgreSQL
  • NoSQL Redis
  • NoSQL Mongo

Webservices

  • SOAP
  • APIs
  • Microservicios

Java

  • Java core
  • Java EE
  • Spring framework
  • Hibernate framework
  • Java 9, 10, 11

Otros

  • .NET Framework 4.5
  • .NET Core 3.1
  • .NET 5+
  • ASP
  • Visual Basic
  • PHP
  • NodeJS
  • Python

Autentificación

Métodos de autenticación y control de acceso al usuario y sistemas.

Se requerirá federación por AzureAD o OpenID o SAML2.0 para manejo de identidades de YPF.

Ciberseguridad

Requerimientos Generales de Ciberseguridad

  • La solución deberá cumplir con las medidas de seguridad del OWASP TOP 10.
  • Se deberá realizar un Pentest/Evaluación de seguridad de la aplicación y garantizar que se mitiguen las vulnerabilidades encontradas antes de la salida a producción.
  • La infraestructura de la solución deberá habilitar controles y medidas de protección perimetral como WAF, AntiDDos, IDP/IPS, Firewall La solución deberá permitir configurar usuarios, roles, perfiles y niveles de acceso a las diferentes funcionalidades.
  • La solución deberá permitir una segregación de roles exclusivos para la Gestión de la Seguridad de Administración, y Control (para extracción de logs y auditoria de seguridad y sin permisos a los datos).
  • La solución Cloud deberá registrar logs de todas las operaciones realizadas por los usuarios registrando fecha, hora, usuario valor antes, valor después y resultado de la operación, direcciones IP, nombre de HOST, tipo de evento: seguridad, sistema u otro, etc.
  • La solución deberá utilizar protocolos de red seguros HTTPS, garantizando el uso de certificados SSL +TLS1.2 y cifrado de datos en tránsito.
  • El acceso a la solución deberá ser seguro utilizando para ello el protocolo TLS, con capacidad de ejecutar la totalidad de la funcionalidad del sistema. El certificado de servidor que utilice para establecer dicha conexión deberá ser de algún certificador público (Symantec, Cómodo, GeoTrust, etc.) con una clave pública de 2048 bits.
  • El proveedor debe garantizar la seguridad de Datos personales conforme la ley de protección de datos personales.” Y alinear su gestión según mejores prácticas del mercado, símil: GRPD
  • En caso de que la solución incluya desarrollo adhoc, los mismos deben estar adecuados a mejores prácticas de seguridad en desarrollo. En este sentido, estos deben adecuarse a estándares OWASP, SANS, ONVI o similar.
  • En caso de que la aplicación disponga de acceso de usuarios, se debe habilitar el uso de contraseñas seguras, incluyendo mínimo 10 caracteres (Letras, símbolos especiales, números) y bloqueo de los mismos por intentos fallidos de un máximo de 10 intentos. (Podría ser menor)
  • Se debe garantizar el uso de la última versión del gestor de contenido

Auditoría servicios Cloud

Las certificaciones incluidas en los CSA (Cloud Service Agreement) generalmente se basan en auditorías de terceros, destinadas a brindar credibilidad sin que los clientes necesiten visitar instalaciones y realizar auditorías.
Independientemente de esto, YPF podría negociar como parte del contrato de servicios y pactar una cláusula de inspección o derecho a auditar cualquiera de las instalaciones desde donde se prestan los servicios de Cloud.
Los informes comúnmente ofrecidos por los proveedores de servicios Cloud son los siguientes:

  • ISAE 3000 international attestation y/o US AT 101 attestation tal como Service Organization.
  • Control (SOC) report - especialmente SOC1, SOC 2 y SOC 3.
  • FISMA (Federal Information Security Management Act) compliance.
  • FedRAMP
  • Cloud Security Alliance - STAR registry.
  • Payment Card Industry Data Security Standard (PCI DSS) certification.
  • ISO 27001, 27002, 27017 and 27108 compliance certifications.
  • FIPS (Federal Information Processing Standard) 140-2 validation.

El resto se deberá consultar específicamente con Ciberseguridad dependiendo del requerimiento.

Privacidad y Protección de Datos

Si el oferente presenta una solución SAAS, tendrá la obligación de cumplir con la legislación de protección de datos que se aplica en la locación del usuario, como así también en los distintos lugares donde los datos puedan estar almacenados o disponibles.
Además, deberá especificar:

  • Localización física de la información sensible/confidencial.
  • Establecer que el CSP solo accederá a los datos de YPF cuando sea requerido por ley y debidamente solicitado por fuerzas legales.
  • Requerir la oportuna notificación en caso de requerir acceso.
  • Entender qué capacidades ofrece el CSP respecto a la redundancia, replicación y resguardo de los datos del cliente.

En el caso de tener que realizarse transferencia de datos, la misma debe realizarse de manera segura, protegiéndolos en todo momento. Dicho proceso debe ser validado por Ciberseguridad.

Limitación de responsabilidad

El Cloud Service Agreement (CSA) debe especificar y detallar cuáles son las limitaciones de responsabilidad, los descargos de responsabilidad (disclaimers) y la indemnización. Consideraciones a especificar:

  • Detallar cuidadosamente las responsabilidades que serán atribuidas al proveedor.
  • Asegurar que los descargos (disclaimers) excluyen casos donde el CSP sea groseramente negligente.
  • Comparar las cláusulas de indemnización y descargo para asegurar que no hay diferencias relevantes entre los proveedores de servicio Cloud.
  • Comprender el entorno legal donde las limitaciones de responsabilidad aplican debido a que ciertas jurisdicciones previenen aquellas limitaciones que les parecen irracionales.

Propiedad Intelectual

La cláusula de propiedad intelectual involucra a los derechos de autor, patentes, marcas y diseños industriales, asegurando que el CSA no implique nunca la cesión de ningún derecho de propiedad intelectual a favor del CSP. De este modo, el CSP se compromete a no efectuar ningún tratamiento, ceder o facilitar el acceso a los contenidos del cliente, en favor de terceros.

YPF - 2022 - V.1.0.4