Este artículo explica nuestras medidas técnicas y organizativas para las copias de seguridad, la protección de datos y la seguridad.
1. Confidencialidad (artículo 32, apartado 1, letras a) y b) del GDPR)
Control de acceso físico
Alojamos nuestra plataforma en AWS by Amazon en Frankfurt, Alemania. Proporcionan información detallada sobre sus medidas de seguridad en esta página: https://aws.amazon.com/compliance/data-center/controls/.
Control de acceso electrónico
Solo se puede acceder directamente a la base de datos desde nuestra oficina o a través de nuestra VPN. Este acceso es de sólo lectura y está restringido únicamente a los administradores del sistema. Las contraseñas de acceso a la base de datos sólo pueden utilizarse al iniciar sesión con autenticación de dos factores en nuestro software de gestión de contraseñas. Contamos con políticas y procesos para la gestión de claves que se supervisan activamente. Sólo asignamos acceso cuando es necesario para el trabajo del empleado.
Control de separación
Todos los datos de cada cliente están vinculados al ID de la cuenta del cliente. Tenemos entornos separados de desarrollo, pruebas, aceptación y producción.
Cifrado y seudonimización
Los datos personales que almacenamos se cifran en tránsito y en reposo. Sólo se puede acceder a los datos personales mediante:
Iniciando sesión con las credenciales de acceso de la cuenta del cliente.
Nuestros sistemas de soporte con el consentimiento explícito para acceder a la cuenta dado a través de la página de perfil de la cuenta.
Accediendo a la base de datos directamente desde la red de la oficina con el inicio de sesión.
2. Integridad (artículo 32, apartado 1, letra b) del RGPD)
Control de la transferencia de datos
Solo se puede acceder directamente a la base de datos dentro de nuestra oficina o a través de nuestra VPN. Este acceso es de sólo lectura y está restringido únicamente a los administradores del sistema. Todos los datos se cifran en tránsito y en reposo.
Control de entrada de datos
Sólo los clientes registrados y nuestros asesores de soporte tienen acceso y pueden alterar los datos personales de esa cuenta de cliente. La modificación directa de los datos de la base de datos está restringida. No registramos los cambios o eliminaciones de datos personales.
3. Disponibilidad y resistencia (artículo 32, apartado 1, letras b) y c) del RGPD)
Control de disponibilidad
Alojamos nuestra plataforma en AWS by Amazon en Frankfurt, Alemania. Proporcionan información detallada sobre sus medidas de seguridad en esta página: https://aws.amazon.com/compliance/data-center/controls/.
Copia de seguridad de los datos
Contamos con una estrategia de copias de seguridad en la que realizamos copias de seguridad de los datos durante cinco semanas, incluidas copias de seguridad remotas. Estas copias de seguridad se comprueban periódicamente.
Recuperación en caso de catástrofe
Disponemos de procedimientos de recuperación en caso de catástrofe para garantizar la recuperación de datos y servicios en caso de indisponibilidad.
4. Procedimientos de prueba, valoración y evaluación periódicas (artículo 32, apartado 1, letra d) del RGPD).
5. Gestión de respuesta a incidentes
Disponemos de un procedimiento de gestión de incidentes.
Protección de datos por diseño y por defecto
Nuestro proceso de construcción y desarrollo incluye la protección de datos por diseño y por defecto.
Control de pedidos
Sólo procesamos datos con el consentimiento por escrito del responsable del tratamiento y únicamente a través de los terceros que figuran en nuestra lista de subencargados del tratamiento.
Gestión de la protección de datos
Todas las medidas técnicas y organizativas se gestionan mediante nuestro sistema de gestión de la seguridad de la información certificado por la norma ISO 27001. Esto incluye la comprobación, supervisión y evaluación de todas las actividades relacionadas con estas medidas técnicas y organizativas.