Contrato de Servicios de Ciberseguridad

El archivo .docx se genera en tu navegador con html-docx-js, sin enviarse a nuestros servidores. Abrelo en Word, Google Docs o LibreOffice y reemplaza los campos resaltados en amarillo con tus datos.

CONTRATO DE SERVICIOS DE CIBERSEGURIDAD GESTIONADA

Conste por el presente documento el contrato que celebran de una parte [NOMBRE_PROVEEDOR], con RUC [RUC_PROVEEDOR] y domicilio en [DIRECCION_PROVEEDOR], a quien se denomina EL PROVEEDOR, y de la otra parte [NOMBRE_CLIENTE], con RUC [RUC_CLIENTE] y domicilio en [DIRECCION_CLIENTE], a quien se denomina EL CLIENTE, conforme a los términos siguientes.

PRIMERA. OBJETO
EL PROVEEDOR se obliga a prestar servicios de ciberseguridad gestionada consistentes en monitoreo de seguridad, pruebas de penetración (pentesting), análisis de vulnerabilidades y respuesta a incidentes sobre los activos descritos en el Anexo 1. La prestación se rige por el artículo 1755 del Código Civil.

SEGUNDA. ALCANCE
Los servicios incluyen monitoreo continuo, [NUMERO_PENTEST] pruebas de penetración al año y la elaboración de informes de hallazgos con recomendaciones de remediación.

TERCERA. AUTORIZACIÓN
EL CLIENTE autoriza expresamente la ejecución de pruebas controladas sobre sus sistemas, eximiendo a EL PROVEEDOR de responsabilidad por interrupciones derivadas de pruebas previamente coordinadas.

CUARTA. RESPUESTA A INCIDENTES
Ante un incidente de seguridad, EL PROVEEDOR activará el protocolo de respuesta dentro de las [HORAS_RESPUESTA] horas y apoyará a EL CLIENTE en la notificación a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas que exige el reglamento de la Ley 29733 (D.S. 016-2024-JUS).

QUINTA. CONFIDENCIALIDAD
EL PROVEEDOR mantendrá absoluta reserva sobre las vulnerabilidades detectadas y la información de EL CLIENTE, obligación que subsiste por [ANOS_CONFIDENCIALIDAD] años tras la terminación.

SEXTA. CONTRAPRESTACIÓN
EL CLIENTE pagará S/ [MONTO_MENSUAL] mensuales por los servicios.

SÉTIMA. PLAZO
El contrato tiene vigencia de [VIGENCIA_MESES] meses, renovable por acuerdo escrito.

OCTAVA. JURISDICCIÓN
Las controversias se someten a los jueces de [DISTRITO_JUDICIAL].

Firmado en [CIUDAD], el [FECHA].


_______________________               _______________________
        EL PROVEEDOR                            EL CLIENTE

El Contrato de Servicios de Ciberseguridad regula la prestación de servicios destinados a proteger los sistemas, redes y datos de una organización frente a amenazas digitales. Cubre desde pruebas de penetración (pentesting) y auditorías de seguridad hasta monitoreo continuo, respuesta a incidentes y gestión de vulnerabilidades. Es un contrato delicado porque el proveedor accede a la infraestructura más sensible del cliente, por lo que la confidencialidad, los límites de la prueba y la responsabilidad son cláusulas centrales.

Quién lo presenta y cuándo conviene usarlo

Lo firman el proveedor de ciberseguridad (empresa especializada o consultor) y el cliente que contrata la protección. Conviene usarlo cuando contratas un pentest o auditoría, cuando externalizas el monitoreo de seguridad (SOC), o cuando necesitas un equipo de respuesta ante incidentes. Es indispensable cuando el proveedor va a probar la seguridad de tus sistemas, porque sin autorización escrita esas pruebas podrían confundirse con un acceso ilícito sancionado penalmente.

Base legal

El contrato se ampara en la libertad contractual del artículo 1354 del Código Civil y las reglas de prestación de servicios de los artículos 1351 a 1413. La autorización expresa para acceder y probar sistemas es esencial frente a la Ley 30096 de Delitos Informáticos (modificada por la Ley 30171), que sanciona el acceso ilícito a sistemas. Como el proveedor trata datos personales, rige la Ley 29733 y su Reglamento del Decreto Supremo 016-2024-JUS, que obliga a notificar incidentes de seguridad a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas de conocerlos.

Qué datos y documentos necesitas

• Identificación de ambas partes y del responsable técnico de cada lado.
• Alcance preciso de los servicios (pentest, auditoría, monitoreo, respuesta a incidentes).
• Sistemas, activos y rangos de IP autorizados a evaluar, y los que quedan fuera.
• Ventana de tiempo autorizada para las pruebas y los datos de contacto de emergencia.
• Cláusula de confidencialidad y de tratamiento de datos como encargado.
• Régimen de responsabilidad, seguros y entregables (informe de hallazgos).

Cómo presentarlo paso a paso

1. Define con exactitud el alcance, sin una autorización escrita, una prueba de intrusión es ilegal.
2. Delimita los activos dentro y fuera de alcance, y la ventana horaria de las pruebas.
3. Incluye la cláusula de encargo de tratamiento de datos y la notificación de incidentes en 48 horas.
4. Pacta la confidencialidad reforzada y la entrega segura del informe de vulnerabilidades.
5. Firma ambas partes, idealmente con firma digital de la IOFE.
6. Conserva la autorización escrita como respaldo frente a cualquier cuestionamiento legal.

Errores comunes a evitar

• Realizar pruebas de intrusión sin autorización escrita y detallada del cliente.
• No delimitar los activos fuera de alcance, arriesgando dañar sistemas de terceros.
• Omitir la cláusula de notificación de brechas en 48 horas exigida por el Reglamento.
• No regular la confidencialidad y la destrucción de la información tras el encargo.

Preguntas frecuentes

¿Por qué la autorización escrita es tan crítica en un pentest?

Porque acceder a sistemas sin permiso es delito conforme a la Ley 30096 de Delitos Informáticos. La autorización expresa y delimitada del cliente es lo que convierte una prueba de intrusión en una actividad lícita y no en un acceso ilícito.

¿El proveedor debe avisar si detecta una brecha de datos?

Sí. El Reglamento del D.S. 016-2024-JUS obliga a notificar los incidentes de seguridad a la ANPD dentro de las 48 horas de conocidos. El contrato debe trasladar y coordinar esa obligación entre proveedor y cliente.

¿Quién responde si la prueba causa una caída del sistema?

Depende del contrato y del alcance autorizado. Conviene pactar límites de responsabilidad, ventanas de prueba en horarios de bajo impacto y un seguro del proveedor, todo ello dentro del marco de inejecución de obligaciones del Código Civil.

¿El proveedor puede usar los hallazgos para otros fines?

No. La información obtenida es confidencial y, en cuanto incluya datos personales, el proveedor actúa como encargado de tratamiento bajo la Ley 29733, obligado a usarla solo para el servicio y a destruirla o devolverla al terminar.