Se engloban en este epígrafe las condiciones particulares en cuanto a protección de datos y medidas de seguridad ofertadas para los servicios o paquetes de servicios destinados a la ciberseguridad en la red del Cliente y en su salida a Internet, como Cibserseguridad, Scudo, Firewall Virtual, WAF, MDM, antivirus con consola centralizada, servicios de análisis de vulnerabilidades, consultoría, etc.
Las condiciones particulares para el servicio de copia de seguridad en la nube se encuentran recogidas en el apartado de Soluciones Cloud.
Datos a tratar: Datos identificativos, de contacto, tráfico de telecomunicaciones e IP pública de Empleados y Colaboradores de la Empresa.
Tratamientos a realizar: Recogida, Registro, Consulta y Supresión.
Subencargados del tratamiento:
- Fractalia Systems S.L.
- S2 GRUPO SOLUCIONES DE SEGURIDAD, S.L.U.
- INNOVACIONES TECNOLÓGICAS DEL SUR S.L.
Medidas de seguridad:
El Operador ha implementado y mantendrá en vigor adecuadas medidas técnicas y organizativas, controles internos y rutinas de seguridad de la información dirigidas a proteger los Datos del Cliente frente a actos accidentales, ilícitos o no autorizados de acceso, revelación, alteración, pérdida o destrucción, según se describe a continuación:
Organización de la seguridad de la información
-
- Responsabilidad en materia de seguridad. El Operador ha designado un responsable de seguridad, encargado de coordinar y asegurar el cumplimiento de las políticas y procedimientos de seguridad. Además, ha nombrado un Delegado de Protección de Datos, encargado de coordinar y asegurar el cumplimiento en materia de Protección de Datos de todos los servicios y productos de la compañía.
- Roles y responsabilidades en materia de seguridad. Existe una definición de roles y responsabilidades de cada puesto de trabajo que pueda implicar acceso a los datos del cliente, que incluye todo lo relativo a seguridad y privacidad. Además, el personal del Operador que tenga acceso a los Datos del Cliente estará sujeto a obligaciones de confidencialidad.
- Documentación en materia de seguridad. Existen procedimientos documentados y normativa en materia de seguridad.
Seguridad en relación con los recursos humanos
-
- Normativa de uso de equipamiento y seguridad de la información. Indica las normas de uso de los equipos informáticos, móviles y sistemas de información, y es de obligado conocimiento por parte de todo el personal que pueda llegar a tratar datos del cliente. La finalidad de esta normativa es asegurar un buen uso de los sistemas de información y minimizar los riesgos en cuanto a seguridad.
- Formación en materia de seguridad. Todo el personal que tenga acceso a datos del cliente ha sido formado adecuadamente para el mantenimiento de las mejores prácticas en cuanto a seguridad y privacidad, así como en los procedimientos de seguridad aplicables, en función de las tareas que requiera su puesto de trabajo. Así mismo, el personal está informado sobre las posibles consecuencias del incumplimiento de procedimientos y normas relativos a seguridad.
Seguridad física y del entorno
-
- Acceso físico a las instalaciones. El Operador únicamente permite que personas físicas autorizadas puedan acceder las instalaciones en que se ubican los sistemas de información que tratan Datos del Cliente.
- Protección frente a interrupciones. El Operador emplea una variedad de sistemas estándares en la industria como protección frente a pérdidas de datos debidas a fallos en el suministro eléctrico, así como protección frente a incendios
- Eliminación. El Operador emplea procesos estándares en la industria para eliminar Datos del Cliente que ya no son necesarios tanto Datos Personales como cualquier otro tipo de dato o activo del cliente.
Gestión de operaciones
-
- Software malicioso. El Operador tiene controles contra el malware en su infraestructura para ayudar a evitar que el software malicioso obtenga acceso no autorizado a los Datos del Cliente.
- Datos fuera del perímetro: el Operador encripta los Datos del Cliente que se transmiten sobre redes públicas, en los accesos de su responsabilidad.
- Registro de sucesos. Los sistemas de tratamiento de datos gestionados por el Operador disponen de un sistema de registro de eventos (logs) que se analizan en caso necesario.
Control de accesos
-
- Política de acceso. El Operador mantiene un registro de los privilegios de seguridad que tienen las personas físicas que disponen de acceso a los Datos del Cliente.
- Autorización de acceso
-
El Operador mantiene y actualiza un registro del personal que está autorizado a acceder a los sistemas del Operador que contienen Datos del Cliente.
-
El Operador desactiva las credenciales propias de autenticación que no han sido utilizadas durante un periodo de tiempo que no excede de seis meses.
-
El Operador identifica qué personal puede otorgar, alterar o cancelar el acceso autorizado a datos y recursos.
-
El Operador dispone de sistemas que le permiten identificar las personas autorizadas que han accedido a los sistemas del Operador.
- Menor privilegio
-
Al personal de soporte técnico únicamente se le permite tener acceso a los Datos del Cliente cuando lo necesita
-
El Operador restringe el acceso a los Datos del Cliente únicamente a aquellas personas físicas que lo precisan para ejecutar sus funciones laborales.
- Integridad y confidencialidad
-
El Operador instruye a sus empleados a que desactiven las sesiones administrativas cuando abandonen las instalaciones o cuando los ordenadores se dejen sin atención por cualquier otro motivo.
-
El Operador almacena las contraseñas de un modo que las hace ininteligibles.
- Autenticación
-
El Operador emplea prácticas estándares en la industria para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información.
-
El Operador requiere que las contraseñas se renueven con regularidad y tengan, al menos, una longitud de 8 caracteres.
-
El Operador se asegura de que los identificadores desactivados o expirados no sean otorgados a otras personas físicas.
Gestión de incidencias de seguridad de la información
-
- Proceso de respuesta a incidencias. El Operador tiene un procedimiento de respuesta ante incidentes basado en estándares y en mejores prácticas, que nos asegure la capacidad de detectar y actuar ante brechas de seguridad. Que incluye apartados específicos para el caso en que estas brechas supongan violaciones de datos personales responsabilidad del Cliente.
- Monitorización del servicio. El Operador dispone de un proceso de monitorización que verifica el estado de los distintos servicios.