NUM
4
4.1
a.
b.
4.2
a.
b.
c.
4.3
a.
b.
4.4
a.
b.
c.
d.
e.
f.
g.
h.
5
5.1
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
k.
5.2
5.2.1
a.
� b.
c.
d.
e.
5.2.2
a.
b.
c.
5.3
a.
b.
c.
d.
e.
5.4
a.
b.
c.
d.
6
6.1
a.
1
b.
1
2
3
c.
d.
e.
� 1
i.
ii
iii.
iv.
v.
2
f.
g.
h.
6.2
a.
1
2
3
4
5
b.
7
7.1
7.1.1
7.1.2
a.
b.
7.1.3
a.
b.
c.
d.
e.
7.2
7.2.1
7.2.2
1
2
3
7.2.3
a.
� 1
2
3
4
5
b.
7.2.4
a.
b.
c.
d.
8
8.1
8.2
8.2.1
a.
1
2
b.
8.2.2
8.2.3
a.
b.
8.2.4
8.2.5
8.3
8.3.1
a.
b.
1
2
3
c.
1
2
3
4
5
d.
�8.3.2
9.
9.1
9.2
9.3
a.
b.
c.
d.
9.4
� CRITERIO
CONTEXTO DE LA EMPRESA
Comprensión de la empresa y de su contexto
La empresa debe establecer un procedimiento documentado para analizar el entorno e identificar los
factores originados por el contexto interno y externo, que son aplicables para su propósito, la planificación
estratégica y los objetivos del SGCS BASC, considerando los elementos que tengan impacto sobre su rol
en la cadena de suministro y el comercio.
Debe tener en cuenta todos los aspectos que puedan afectar sus actividades y las de sus partes
interesadas, permitiendo la mejora continua de sus operaciones. Adicionalmente, debe realizar el
seguimiento y revisión de la información sobre estos factores, mínimo una vez al año y cuando sea
pertinente.
Comprensión de las necesidades y expectativas de las partes interesadas.
La empresa debe:
Determinar las partes interesadas que son pertinentes al SGCS BASC.
Identificar sus necesidades y expectativas.
Realizar el seguimiento y revisión sobre estas partes interesadas y sus requisitos, mínimo una vez al año
y cuando sea pertinente.
Determinación del alcance.
La empresa debe determinar y documentar el alcance aplicable al SGCS BASC, incluyendo:
Todos los servicios, procesos y actividades relacionados al rol de la empresa en la cadena de suministro
y otras actividades comerciales identificadas en el contexto (ver 4.1).
Límites físicos y ubicación de la empresa, incluyendo las instalaciones y otras sedes a considerar.
Enfoque de procesos.
La empresa debe establecer un procedimiento documentado para identificar todos los procesos y
elementos declarados en el alcance (ver 4.3), que incluya:
Las entradas y las salidas de sus procesos.
La secuencia e interacción de sus procesos (por ejemplo, mapa de procesos).
El objetivo y alcance del proceso.
Indicadores de desempeño necesarios para evidenciar la eficacia y el control de sus procesos (ver 8.1).
Los recursos necesarios para estos procesos y asegurarse de su disponibilidad (ver 7.1.1).
La responsabilidad y autoridad para sus procesos (ver 5.4).
Los riesgos relacionados con sus procesos (ver 6.1).
Determinar la eficacia de la mejora continua de los procesos con relación al SGCS BASC, cambios en el
contexto o cuando considere necesario.
LIDERAZGO
Liderazgo y compromiso
La alta dirección debe ejercer liderazgo y demostrar compromiso con respecto del SGCS BASC, al:
Promover la seguridad en la cadena de suministro como parte integral de su estrategia.
Asumir la responsabilidad relacionada con su eficacia.
Comunicar la importancia del SGCS BASC a sus partes interesadas.
Establecer la política de gestión en control y seguridad y los objetivos del SGCS BASC, acordes con el
contexto, alcance, procesos y riesgos de la empresa.
Promover la integración de los requisitos del SGCS con el propósito de la empresa.
Fomentar el uso del enfoque de procesos y la gestión del riesgo en la cadena de suministro.
Adoptar un enfoque de supervisión basado en el riesgo de delitos de corrupción, lavado de activos y
financiamiento del terrorismo, para fortalecer la cultura de seguridad.
Asegurar la disponibilidad de los recursos requeridos.
Establecer un código de ética y conducta que respalde la política de control y seguridad y otras políticas
de la empresa en el marco de un buen gobierno corporativo.
Promover la mejora continua en el SGCS BASC.
Establecer una política de responsabilidad social que promueva elementos de prevención y controles
para evitar el abuso laboral, discriminación, trabajo forzoso, trabajo infantil y otras violaciones a los
derechos humanos.
Política de gestión en control y seguridad
Establecimiento.
La alta dirección debe establecer, documentar y aprobar la política que sea apropiada al alcance,
contexto y riesgos de la empresa, que incluya el compromiso de:
Proporcionar un marco de referencia para el establecimiento de los objetivos del SGCS BASC.
�Mantener la integridad de sus procesos, respecto a la prevención de delitos de corrupción y soborno,
lavado de activos, entre otros.
Cumplir con los requisitos legales y reglamentarios.
Mejorar continuamente el SGCS BASC.
Promover la seguridad en el uso de tecnologías de la información.
Comunicación de la política La política se debe:
Mantener como información documentada.
Comunicar y entender en todos los niveles de la empresa.
Comunicar y mantener disponible para las partes interesadas.
Objetivos del SGCS BASC.
La alta dirección debe establecer, documentar, revisar y dar seguimiento a los objetivos del SGCS BASC,
los cuales deben:
Estar alineados con los compromisos de la política (ver 5.2.1).
Ser medibles, concretos, claros, realizables y alineados a la mejora continua del SGCS BASC.
Estar enmarcados en un período definido.
Establecer meta(s) e indicador(es) que evidencien su avance o cumplimiento (ver 8.1).
Ser comunicados a los niveles pertinentes en la empresa.
Responsabilidad y autoridad de la empresa.
La alta dirección debe establecer y documentar la responsabilidad y autoridad del personal que tiene
impacto sobre el SGCS BASC. Debe incluir las responsabilidades para:
Representante de la dirección, quien debe conocer el SGCS BASC, informar periódicamente a la alta
dirección sobre el desempeño del sistema, asegurar que se mantiene implementado y mejorar su eficacia
continuamente. El representante de la dirección será el punto de contacto con el Capítulo BASC
correspondiente.
Un jefe o encargado de la seguridad.
Los auditores internos.
Los líderes de los procesos (ver 4.4.e) y demás personal involucrado.
PLANIFICACIÓN
Gestión del Riesgo.
La empresa debe establecer un procedimiento documentado para la gestión del riesgo con base en el
enfoque de procesos y su rol en la cadena de suministro. Debe asegurar el cumplimiento e incluir los
siguientes elementos:
Criterios e identificación del riesgo:
Establecer los criterios que le permitan a la empresa definir los riesgos que puede asumir para alcanzar
los objetivos del SGCS BASC.
Identificar los riesgos o sus fuentes en los diferentes procesos de la empresa y la cadena de suministro,
con base en el análisis del contexto (ver 4.1), las partes interesadas (ver 4.2), el alcance (ver 4.3) y los
compromisos establecidos en la política de gestión en control y seguridad (ver 5.2).
Análisis de riesgos:
La empresa debe establecer una metodología que permita:
Determinar el nivel de prioridad del riesgo con base en los criterios establecidos.
Una relación matemática que contemple la probabilidad y consecuencia o impacto de los riesgos sobre
sus objetivos.
Verificar la efectividad de los controles operacionales establecidos.
Evaluación de riesgos:
La empresa debe:
Comparar los resultados del análisis (6.1 b) y los criterios definidos (ver 6.1 a) para apoyar las decisiones
sobre el tratamiento del riesgo.
Considerar si se requieren acciones adicionales, dentro de las cuales puede mantener los controles
existentes o reconsiderar la metodología aplicada.
Tratamiento de riesgos:La empresa debe establecer, documentar e implementar opciones de tratamiento
y controles operacionales para abordar el riesgo de manera eficaz, con base en la evaluación
previamente realizada.
Respuesta a eventos:
�Con base en la prioridad de los riesgos y en caso de materialización de los mismos, la empresa debe:
Establecer, documentar e implementar los métodos adecuados para que el impacto sea menor.
Ejecutar planes de recuperación de la seguridad y reactivación/ continuidad del negocio cuando aplique.
Documentar las actividades de respuesta al evento.
Aplicar acciones de mejora para asegurar que se analicen las causas, describiendo la metodología
utilizada para evitar su recurrencia.
Retroalimentar la gestión del riesgo con las acciones y controles relacionados a los riesgos implicados.
Con base en el impacto y naturaleza del evento, se deben realizar ejercicios prácticos y/o simulacros, que
permitan determinar la eficacia de las acciones establecidas.
f) Seguimiento: La empresa debe medir periódicamente la eficacia de la gestión del riesgo y establecer
acciones adicionales en caso de que se requieran.
g) Revisiones:La empresa debe revisar los riesgos mínimo una vez al año o cuando se identifiquen
cambios en el contexto (ver 4.1), el alcance (ver 4.3) o los procesos del SGCS BASC (ver 4.4).
h) Comunicación: La empresa debe comunicar periódicamente a las partes interesadas pertinentes, los
riesgos identificados, los controles operacionales establecidos y las actividades para enfrentar eventos en
caso de que estos sucedan.
Requisitos legales
La empresa debe establecer un procedimiento documentado para:
Identificar y tener acceso a los requisitos legales y reglamentarios relacionados con el comercio
aplicables y declarados en el alcance del SGCS BASC (ver 4.3).
Determinar cómo estos requisitos aplican a la empresa.
Actualizar esta información cuando se presenten cambios.
Determinar la frecuencia con la que se verificará el cumplimiento.
Evaluar el cumplimiento y aplicar las acciones que sean necesarias.
La empresa debe conservar información documentada como evidencia de los resultados de la evaluación
del cumplimiento (ver 7.2).
APOYO
Recursos
Previsiones:La empresa debe determinar y proporcionar los recursos necesarios para implementar,
mantener y mejorar continuamente el SGCS BASC.
Personal: La empresa debe establecer y documentar de acuerdo con la autoridad y responsabilidad (ver
5.4):
Los requisitos de competencia, incluyendo requisitos de educación, formación, habilidades y experiencia,
y asegurar por medio de evaluaciones periódicas el cumplimiento de estos requisitos. Cuando sea
necesario, generar acciones para alcanzarlos y evaluar la eficacia de dichas acciones.
Los criterios para determinar cargos críticos, acordes con la gestión del riesgo.
Infraestructura operacional.
La empresa debe establecer, proveer y mantener la infraestructura necesaria para asegurar la eficacia de
los controles operacionales (ver 6.1 d). Esta infraestructura debe incluir como mínimo:
Equipo o herramienta de trabajo.
Elementos de seguridad física como barreras perimetrales y controles de acceso.
Elementos de seguridad eléctrica/electrónica.
Elementos de seguridad de la información.
Elementos informáticos (hardware/software).
Información documentada
Generalidades: La empresa debe contar con información documentada que evidencie el cumplimiento de
los requisitos del SGCS BASC y otros requisitos legales y reglamentarios aplicables.
Manual de Control y Seguridad.
La empresa debe establecer, documentar, revisar y dar seguimiento al Manual de Control y Seguridad
BASC, el cual debe contener:
El contexto (ver 4.1 y 4.2) y el alcance del SGCS BASC (ver 4.3).
La documentación del cumplimiento de todos los requisitos del SGCS BASC.
Exclusiones debidamente justificadas, en caso de que aplique.
Control de documentos
La empresa debe establecer un procedimiento documentado para:
�Aprobar los documentos antes de su emisión.
Revisar periódicamente y actualizarlos cuando sea necesario.
Mantener su integridad, disponibilidad, confidencialidad y que sean recuperables
Impedir el uso de la documentación obsoleta.
Controlar los documentos de origen externo.
La empresa debe mantener un listado maestro de documentos actualizados.
7.2.4 Control de registros.
La empresa debe establecer un procedimiento documentado para:
a) Identificar, mantener y disponer los registros del SGCS.
b) Revisar periódicamente y actualizar sus requisitos cuando sea necesario.
c) Asegurar que estos permanezcan legibles, protegidos, fácilmente identificables y recuperables.
d) Establecer el período de retención de los registros con base en los requisitos legales y la gestión del
riesgo, así como las actividades para su disposición final.
EVALUACIÓN DE DESEMPEÑO
8.1 Seguimiento, medición, análisis y evaluación: La empresa debe establecer una metodología para
dar seguimiento, medir, analizar y evaluar de manera periódica el desempeño del SGCS BASC. Esta
debe incluir los objetivos (ver 5.3) e indicadores de los procesos que lo integran (ver 4.4). En caso de no
alcanzar los resultados previstos, debe proponer las actividades correspondientes para la gestión de
mejora (ver 9).
Auditoría interna
Generalidades La empresa debe establecer un procedimiento documentado para desarrollar un ciclo de
auditoría interna a intervalos planificados (como mínimo un ciclo anual dentro del período de validez de la
certificación), que permita determinar si el SGCS BASC:
Es conforme con:
Los requisitos determinados por la empresa.
Los requisitos de la Norma Internacional BASC y el Estándar de Seguridad aplicable.
Está implementado, mejora continuamente y se mantiene de manera eficaz.
Programa de auditoría interna: La empresa debe establecer un programa de auditoría interna para auditar
todos los procesos que conforman el SGCS BASC. Su enfoque y periodicidad debe ajustarse a la
madurez del sistema, resultados de auditorías anteriores, importancia y criticidad de los procesos
identificados en la gestión del riesgo.
Selección y evaluación del equipo auditor
Las auditorías internas al SGCS BASC, las debe realizar un equipo de auditores competentes,
independientes a los procesos auditados y formados a través de los Capítulos BASC. Este debe ser
propio de la empresa, con el fin de garantizar la continuidad del sistema y el seguimiento de los
resultados obtenidos en los procesos de auditoría.
Debe evaluar el desempeño de los auditores, como mínimo una vez al año, para evidenciar sus
competencias (ver 7.1).
Plan de la auditoría La empresa debe documentar en su plan para la auditoría interna, el objetivo,
alcance, criterios, responsables, agenda y equipo auditor.
Resultados de la auditoría:La empresa debe documentar el resultado de las auditorías, registrando,
cuando aplique, fortalezas, oportunidades de mejora, no conformidades y observaciones, y comunicarlo a
los niveles pertinentes.
8.3 Revisión por la dirección: La alta dirección debe revisar el SGCS BASC a intervalos planificados
(mínimo una vez al año dentro del período de validez de la certificación) y debe incluir:
Evidencias sobre los elementos de entrada:
Cumplimiento de acuerdos documentados en revisiones anteriores.
Los cambios en:
El contexto y el alcance.
Las necesidades y expectativas de las partes interesadas.
La gestión del riesgo.
La información sobre el desempeño del SGCS BASC, incluidas las tendencias relativas a:
Los requisitos legales y reglamentarios (ver 6.2).
Los resultados alcanzados en la evaluación del desempeño (ver 8.1).
Los resultados de las auditorías internas (ver 8.2).
Los resultados de las acciones correctivas (ver 9.3).
El resultado de la mejora (ver 9.4)
Asignación de los recursos.
�Elementos de salida: Los elementos de salida de la revisión por la dirección deben incluir las
conclusiones sobre la eficacia y las decisiones relacionadas a la mejora continua del SGCS BASC (ver 9).
La empresa debe conservar información documentada como evidencia de los resultados de las revisiones
por la dirección.
MEJORA
Generalidades: La organización debe mejorar continuamente el SGCS BASC, considerando los
resultados del seguimiento, evaluación, análisis y medición del sistema, así como el resultado de la
revisión por la dirección, con la finalidad de determinar las acciones y recursos necesarios para la mejora.
Corrección: Cuando se identifique un evento o hallazgo que requiera atención inmediata, la empresa
debe desarrollar las acciones correspondientes para eliminar los efectos no deseados. Debe mantener
registros de dichas correcciones y de su eficacia para determinar si se requieren acciones adicionales.
Acción correctiva: La empresa debe establecer un procedimiento documentado para la gestión de las
acciones correctivas y aplicarlo cuando se identifiquen no conformidades. Se deben considerar los
siguientes aspectos:
Registrar las no conformidades.
Desarrollar un análisis de las causas.
Determinar e implementar las acciones correspondientes para eliminar estas causas, incluyendo las
fechas límite y los responsables.
Verificar la eficacia de las acciones tomadas.
Acciones de mejora: La empresa debe determinar, registrar y dar seguimiento periódico a las
observaciones y oportunidades de mejora e implementar las acciones necesarias para lograr los
resultados previstos, fortalecer su sistema y la gestión del riesgo.
� 141
DEBE APLICA NCM NCm O RESPONSABLE OBSERVACIÓN
19
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
33
1
1
1
1
1
1
1
1
1
1
1
0
1
1
�1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
30
1
1
1
1
1
1
1
1
�1
1
1
1
1
1
1
0
1
1
1
1
1
1
1
26
0
1
1
1
1
1
1
0
1
1
1
1
0
1
�1
1
1
1
1
1
0
1
1
1
1
25
0
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
�1
1
1
1
1
1
�NUM
1
1.1
1.1.1
a.
b.
c.
d.
e.
f.
g.
1.2
1.2.1
a.
b.
c.
d.
1.2.2
a.
b.
c.
d.
e.
f.
g.
2
2.1
2.2
2.2.1
2.2.2
a.
� b.
c.
d.
2.3
2.4
a.
b.
c.
2.5
a.
b.
3
3.1
3.1.1
a.
b.
c.
d.
e.
i.
ii.
iii.
3.1.2
a.
b.
c.
d.
e.
f.
3.1.3
a.
b.
c.
d.
e.
� f.
g.
3.1.4
a.
b.
c.
3.2
3.2.1
a.
b.
c.
d.
3.2.2
a.
b.
c.
d.
e.
f.
g.
4
4.1
4.1.1
a.
b.
c.
4.1.2
a.
b.
c.
d.
e.
f.
g.
4.1.3
4.1.4
4.1.5
4.1.6
a.
b.
c.
d.
4.2
4.2.1
a.
b.
� c.
1
2
3
4
5
d.
e.
f.
g.
1
2
3
4
4.2.2
a.
b.
4.2.3
5
5.1
a.
b.
c.
5.2
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
k.
l.
m.
�n.
o.
p.
q.
r.
s.
t.
u.
v.
� CRITERIO
REQUISITOS DE ASOCIADOS DE NEGOCIO
Gestión de asociados de negocio
La empresa debe establecer un procedimiento documentado para la selección, evaluación, contratación y
sensibilización de asociados de negocio respecto al SGCS BASC, con base en la gestión del riesgo, la
debida diligencia y la legislación vigente. Debe incluir:
El nivel de criticidad con base en la gestión del riesgo.
Evidencia del cumplimiento de los requisitos legales de sus asociados de negocio.
Evidencia de la certificación BASC (autenticidad del certificado). En caso de no contar con esta,
mantener evidencia de otras certificaciones o iniciativas de seguridad vigentes y reconocidas
internacionalmente por una autoridad aduanera (CTPAT, Operador Económico Autorizado) y otros entes,
que constituyan evidencia de cumplimiento de criterios de seguridad aceptables. En caso de no contar
con estas certificaciones o iniciativas de seguridad, la empresa debe suscribir acuerdos de seguridad.
Cumplimiento de los acuerdos de seguridad mediante una verificación, mínimo una vez al año.
Lista actualizada de los asociados de negocio.
Lineamientos de capacitación que incluyan prácticas de prevención de delitos en el comercio
internacional y de corrupción y soborno.
Evidencia de datos de los beneficiarios finales, de acuerdo con la legislación vigente.
Prevención del lavado de activos y financimiento del terrorismo
La empresa debe establecer un procedimiento, de acuerdo con la legislación vigente, para prevenir el
lavado de activos, financiamiento del terrorismo y otros delitos relacionados con el comercio
internacional. La empresa debe nombrar un responsable del cumplimiento de estos procedimientos. Este
procedimiento debe incluir:
Conocimiento de sus asociados de negocio, que incluya: identidad y legalidad de la empresa, socios y
representantes.
Antecedentes legales, penales y financieros teniendo en cuenta las listas nacionales e internacionales.
Reporte oportuno a las autoridades competentes cuando se identifiquen operaciones sospechosas (ver
3.7).
Verificación de pertenencia a gremios o asociaciones reconocidos.
El procedimiento documentado para la selección de los asociados de negocio (ver 1.1) debe, con base
en la gestión del riesgo, contemplar como mínimo los siguientes factores (señales de alerta) para la
identificación de operaciones sospechosas:
a) Origen y destino de la operación de comercio.
b) Frecuencia de las operaciones.
c) Valor y tipo de mercancías.
d) Modalidad de la operación de transporte.
e) Forma de pago de la transacción.
f) Inconsistencias en la información proporcionada por los asociados de negocio.
g) Requerimientos que salen de lo establecido.
SEGURIDAD EN LOS PROCESOS DE MANEJO DE INFORMACIÓN DE LA CARGA Y OTROS
PROCESOS DEFINIDOS EN EL ALCANCE DEL SGCS
Parámetros y criterios La empresa debe contar con procedimientos documentados que contemplen los
parámetros y criterios de seguridad aplicados en los procesos de manejo de la información de la carga y
otros procesos identificados, de acuerdo con el alcance establecido en el SGCS BASC, la gestión del
riesgo, y su rol en la cadena de suministro.
Procesamiento de información y documentos de la carga
Debe establecer un procedimiento documentado para el manejo y control de la documentación de la
carga.
La empresa debe:
Verificar la coherencia de la información transmitida a las autoridades, de acuerdo con la registrada en
los documentos de la operación de la carga.
�Asegurar que la información documentada relacionada a la gestión de la carga sea legible, completa,
precisa y protegida contra modificaciones, pérdida o introducción de datos erróneos.
nformar oportunamente a las partes interesadas pertinentes el manejo de la carga durante su custodia.
Mantener los registros que evidencien la trazabilidad de la carga de acuerdo con su responsabilidad en la
cadena de custodia.
Novedades con la carga: Debe establecer un procedimiento documentado para gestionar todos los
casos relacionados con discrepancias relacionadas con la carga, el material de empaque,embalaje,
residuos, desechos y sobrantes que afecten la seguridad de las operaciones de la empresa.
Comunicación de actividades sospechosas o eventos críticos: Debe establecer un procedimiento
documentado para comunicar oportunamente a las autoridades competentes y partes interesadas
involucradas cuando ocurran actividades sospechosas o eventos críticos que puedan afectar la
integridad de las operaciones definidas en el alcance del SGCS BASC, asegurando el cumplimiento de la
legislación vigente. La empresa debe:
Documentar la información relacionada con las gestiones realizadas.
Realizar una evaluación y análisis posterior con el fin de generar las acciones pertinentes para su
tratamiento.
Formar y capacitar permanentemente al personal para identificar o reconocer actividades sospechosas,
que se relacionen con sus funciones.
Controles en los procesos operativos no relacionados con la carga: Debe establecer un
procedimiento documentado para todos aquellos procesos operativos identificados en el alcance del
SGCS BASC. Estos deben contemplar:
a) Criterios adecuados para mitigar los riesgos y su impacto en esos procesos.
b) Todas las evidencias necesarias para la trazabilidad en los procesos, a fin de poder identificar las
potenciales desviaciones en caso de que se presenten.
SEGURIDAD EN LOS PROCESOS RELACIONADOS CON EL PERSONAL
Procedimiento para la gestión del personal: La empresa debe establecer un procedimiento
documentado, con base en la gestión del riesgo y la legislación vigente, que regule las siguientes
actividades:
Selección del personal: La empresa debe verificar y analizar en el proceso de selección:
Información suministrada por el candidato.
Referencias laborales y personales.
Antecedentes de los candidatos que ocuparán cargos críticos.
Las competencias requeridas para el cargo determinadas por la empresa.
Los resultados de:
Pruebas de confiabilidad.
Pruebas para detectar el consumo de alcohol y drogas ilícitas.
Visitas domiciliarias.
Contratación del Personal La empresa debe:
Mantener un archivo fotográfico actualizado del personal e incluir un registro de huellas dactilares y firma.
Expedir y controlar la entrega y uso de carné de identificación con áreas de acceso determinadas y
uniformes con distintivos de la empresa, en caso de que aplique.
Documentar la entrega de los recursos de seguridad que disponga la empresa, asociados al desempeño
del cargo.
Registrar la entrega del código de ética, conducta y política de compromiso social de la empresa al
colaborador.
Incluir en el proceso de inducción el compromiso con el SGCS BASC.
Definir requisitos de seguridad asociados al perfil del cargo, para todos los cargos críticos determinados
por la empresa y cuando se presenten cambios.
Administración del personal La empresa debe:
Actualizar los datos del personal al menos una vez al año.
Verificar los antecedentes del personal que ocupa cargos críticos, como mínimo una vez al año.
Aplicar pruebas para detectar el consumo de alcohol y drogas al personal que ocupa cargos críticos,
como mínimo cada dos años o cuando se presenten sospechas.
Realizar una visita domiciliaria al personal que ocupa cargos críticos, basada en la gestión del riesgo y
las regulaciones locales, mínimo cada dos años.
Expedir y actualizar el carné de identificación con fotografía, de acuerdo con los procedimientos de la
empresa.
�Evidenciar el uso adecuado de los recursos de seguridad que disponga la empresa, asociados al
desempeño del cargo.
Evidenciar el cumplimento del código de ética, conducta y política de compromiso social de la empresa.
Terminación de la vinculación laboral La empresa debe:
Eliminar el acceso a las instalaciones y tecnologías de la información de la empresa.
Retirar el carné de identificación, uniformes y demás recursos de seguridad con base en los registros
generados en la entrega de éstos.
Comunicar a las partes interesadas pertinentes la desvinculación del colaborador, con base en la gestión
del riesgo.
Programa de Formación, Capacitación y Concientización
La empresa debe documentar y evaluar anualmente la eficacia de programas relacionados a:
Prevención de delitos relacionados con el comercio internacional.
Prevención de adicciones que incluyan avisos visibles y/o material de lectura.
Responsabilidad social empresarial.
Prevención del riesgo de corrupción y soborno.
Debe establecer y mantener un programa anual documentado de capacitación para concientizar al
personal en su responsabilidad de reconocer las vulnerabilidades de la empresa relacionadas al SGCS
BASC, que incluya como mínimo:
Políticas relacionadas con el SGCS BASC.
Cumplimiento de compromiso social.
Gestión del riesgo, controles operacionales, preparación y respuesta a eventos.
Cumplimiento de los requisitos legales relacionados con la empresa.
Evaluación de los indicadores de gestión relacionados con los procesos de la empresa.
Controles de acceso y seguridad física de las instalaciones (ver 4).
Prevención de delitos relacionados a la ciberdelincuencia. (Ver 5).
CONTROL DE ACCESO Y SEGURIDAD FÍSICA
Control de acceso y permanencia en las instalaciones:La empresa debe establecer un procedimiento
documentado para los controles de accesos de los colaboradores, visitantes y terceros, que incluya las
siguientes actividades:
Acceso de colaboradores:
Identificación positiva.
Controlar su ingreso a las instalaciones.
Restringir el acceso a las áreas críticas determinadas por la empresa.
Acceso a los visitantes, contratistas y terceros:
Solicitar autorización para su ingreso.
Presentar una identificación oficial vigente con fotografía.
Mantener un registro del ingreso y salida de las personas.
Registrar, con base en la gestión del riesgo, los elementos que ingresan a las instalaciones.
Entregar y controlar una identificación temporal.
Asegurar que estén acompañados o controlados por personal de la empresa.
Limitar el acceso a las áreas autorizadas para su visita.
Inspeccionar el correo y paquetes recibidos antes de distribuirlos, manteniendo un registro que incluya la
identificación de quién recibe y a quién está destinado.
Inspeccionar los vehículos que entren y salgan de su instalación, conservando los registros
correspondientes.
Acceso a autoridades y vehículos de atención a emergencias de acuerdo con el plan y preparación de
respuesta a eventos o cuando amerite.
Mantener el control operacional en las instalaciones, que incluya:
Exhibir el carné o identificación temporal en un lugar visible, bajo las normas de seguridad industrial
aplicables. Aplica para colaboradores, visitantes, contratistas y terceros.
Controlar las áreas de casilleros (lockers) de los colaboradores y estas deberían estar separadas del
área de manejo y almacenaje de carga.
Identificar y retirar a personas no autorizadas.
Asegurar que el personal de seguridad está controlando las puertas de entrada y salida de las
instalaciones.
Seguridad física
Generalidades: La empresa, con base en la gestión del riesgo y su rol en la cadena de suministro, debe
establecer procedimientos documentados correspondientes a la seguridad física que incluyan:
Estructuras y barreras perimetrales que impidan el acceso no autorizado.
Cerraduras en puertas y ventanas.
�Iluminación que permita el control de las instalaciones en:
Entradas y salidas.
Áreas de almacenamiento y manejo de carga o información.
Cercas perimetrales.
Áreas de estacionamiento.
Otras áreas críticas definidas.
Tener un servicio de seguridad competente de conformidad con los requisitos legales y que garantice
una acción de respuesta oportuna, preferiblemente certificado BASC.
Áreas de estacionamiento para empleados, visitantes y vehículos que entregan o recogen carga.
Inspecciones de funcionamiento y mantenimiento con sus respectivos registros.
Uso de tecnologías de seguridad:
Sistema operativo de alarma que identifique el acceso no autorizado.
Sistema de videovigilancia que cubra las áreas críticas identificadas y monitoreado por personal
competente.
Sistema de respaldo de imágenes y video (grabación) con la capacidad de almacenamiento suficiente
para responder a posibles eventos.
Otros que la empresa considere para el SGCS BASC.
La empresa debe establecer, documentar y mantener actualizado:
Plano(s) con la ubicación de las áreas críticas de las instalaciones.
Control de llaves, dispositivos y claves de acceso.
La empresa debe realizar inspecciones para evaluar la implementación, funcionamiento y mantenimiento
de los controles de seguridad física, conservando registro de los hallazgos.
SEGURIDAD DE LA INFORMACIÓN
Generalidades: La empresa debe establecer un procedimiento documentado, con base en la gestión del
riesgo y su rol en la cadena de suministro, para:
Gestionar y proteger el manejo de la información y los recursos informáticos de la empresa, incluyendo
las medidas a aplicar en caso de incumplimiento.
Salvaguardar la información y su confidencialidad, integridad y disponibilidad, en sus diferentes formas y
estados.
Proteger la infraestructura de las tecnologías de la información.
Ciberseguridad y las tecnologías de la información: La empresa debe:
Establecer, documentar y mantener criterios de seguridad que permitan identificar y proteger los sistemas
de las tecnologías de la información y recuperarla oportunamente en caso de ser necesario.
Identificar partes interesadas y su nivel de criticidad en la infraestructura informática (hardware y
software) de la empresa.
Comunicar oportunamente información sobre amenazas de ciberseguridad identificadas a las partes
interesadas correspondientes.
Clasificar la información de acuerdo con la legislación vigente, sistemas y accesos según el nivel de
criticidad y establecer políticas de acceso a la misma.
Utilizar cuentas asignadas para cada usuario que acceda al sistema, con sus propias credenciales de
acceso mediante contraseñas u otras formas de autenticación que generen accesos seguros. Estas
deben actualizarse periódicamente, cuando existan indicios o sospechas razonables de que están
comprometidas.
Limitar los accesos y permisos de los usuarios de acuerdo con las funciones y tareas asignadas,
revisándolos periódicamente.
Eliminar el acceso a la información a todos los colaboradores, terceros y usuarios externos al terminar su
contrato o acuerdo.
Impedir la instalación de software no autorizado.
Utilizar y mantener hardware y software licenciados y actualizados para proteger la infraestructura de TI
contra amenazas informáticas tales como virus, programas espías, gusanos, troyanos, malware,
ransomware, entre otros.
Realizar copias de seguridad de la información sensible, manteniendo un respaldo fuera de las
instalaciones (física o virtual) con las medidas de seguridad necesarias para impedir que terceros
accedan a la información.
Mantener un registro actualizado de los usuarios, su nivel de criticidad y accesos asignados.
Cerrar/bloquear la sesión en equipos desatendidos.
Evaluar mínimo una vez al año la seguridad de la infraestructura de TI (hardware y software),
implementando acciones pertinentes cuando se hayan detectado vulnerabilidades.
�Establecer procedimientos y controles para identificar y revisar el acceso no autorizado a los sistemas de
información, sitios web, o el incumplimiento de las políticas y procedimientos (incluyendo la manipulación
o alteración de los datos comerciales por parte de los colaboradores o contratistas).
Revisar las políticas y los procedimientos de ciberseguridadal al menos una vez al año y actualizarlas
cuando se presenten cambios en el contexto interno o externo, o cuando se materialice algún riesgo.
Emplear tecnologías seguras, como redes privadas virtuales (VPN) o autenticación multifactor para el
acceso seguro de los colaboradores y usuarios externos a los sistemas informáticos de la empresa,
incluyendo accesos para trabajo remoto o teletrabajo.
Establecer procedimientos para evitar el acceso remoto de usuarios no autorizados, desde dispositivos
personales u otros.
Controlar mediante la realización de inventarios periódicos, los medios u otros equipos que hagan parte
de la infraestructura informática de la empresa. La eliminación o desecho de los mismos se hará de
acuerdo con la legislación vigente.
Restringir la conexión de dispositivos personales y elementos periféricos no autorizados para cualquier
dispositivo que forme parte de la infraestructura informática de la empresa.
Vigilar el cumplimiento de las políticas de ciberseguridad y seguridad de la información establecidas en el
uso de plataformas y contenido digital, herramientas de videoconferencia, comercio electrónico, entre
otras.
Realizar ejercicios prácticos y/o simulacros relacionados con la seguridad de las tecnologías de la
información, que permitan determinar la eficacia de las acciones establecidas (ver Norma 6.1 e).
Establecer controles para super usuarios que permitan la continuidad de credenciales de los equipos
activos, en caso que aplique.
�141
DEBE APLICA NCM NCm O RESPONSABLE OBSERVACIÓN
21
0
1
1
1
1
1
1
0
1
1
1
1
1
1
1
1
1
1
1
14
0
1
0
1
�1
1
1
1
1
1
1
40
1
1
1
1
1
1
1
1
1
0
1
1
1
1
0
1
1
1
1
�1
1
0
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
40
0
1
1
1
0
1
1
1
1
1
1
1
1
1
1
1
1
1
1
0
1
1
1
�1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
26
1
1
1
0
1
1
1
1
1
1
�1
