Default logo
ProductoPreciosIniciar sesiónPrueba gratis
Home/legal/Medidas Técnicas y Organizativas (TOM)

Disclaimer: This page is an automated translation of the original English document, provided of you convenience.
In case of any dicrepancy between the translation and the English original, the English version shall prevail.
Pease refer to the original [Technical and Organisational Measures (TOM)] in English for the definitive text.

Medidas Técnicas y Organizativas (TOM)

Introducción

Deskhero AB (“nosotros,” “nos,” o “nuestro“) se compromete a implementar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad acorde al riesgo asociado al tratamiento de datos personales de nuestros Clientes (“usted” o “Cliente“), Usuarios y clientes de los Clientes, de conformidad con el Reglamento General de Protección de Datos de la UE (RGPD) y otras leyes de protección de datos aplicables.

Este documento describe las medidas técnicas y organizativas que hemos implementado para proteger los datos personales tratados a través de nuestra plataforma de Software como Servicio (SaaS) (“Servicio“), aprovechando nuestra infraestructura de AWS.

1. Medidas Organizativas

1.1 Gobernanza de la Protección de Datos

  • Responsable de Protección de Datos (DPO):
    • Nombre: Klas Karlsson
    • Correo electrónico: dpo@deskhero.com
    • Teléfono: +46 70 601 13 22

Responsabilidad:

  • Supervisar la estrategia de protección de datos y el cumplimiento.
  • Supervisar el cumplimiento de las políticas y procedimientos de protección de datos.
  • Actuar como punto de contacto para los interesados y las autoridades de control.

1.2 Políticas y Procedimientos

  • Políticas de Protección de Datos:
    • Establecer políticas internas de protección de datos, revisadas y actualizadas periódicamente.
    • Las políticas abarcan el manejo de datos, la respuesta ante brechas, el control de acceso y las responsabilidades de los empleados.
  • Formación de Empleados:
    • Programas de formación obligatorios para todos los empleados sobre protección de datos, privacidad y seguridad de la información.
    • Actualizaciones periódicas sobre amenazas emergentes y mejores prácticas.
  • Acuerdos de Confidencialidad:
    • Se exige a empleados y contratistas firmar acuerdos de confidencialidad y no divulgación.

1.3 Gestión de Accesos

  • Política de Control de Acceso:
    • El acceso a los datos personales se concede bajo el principio de necesidad de conocimiento.
    • Revisiones periódicas de los derechos de acceso de los usuarios.
  • Mecanismos de Autenticación:
    • Uso de contraseñas robustas y autenticación multifactor (MFA) para acceder a los sistemas.
    • Políticas de bloqueo de cuenta tras varios intentos fallidos de inicio de sesión.

1.4 Respuesta a Incidentes

  • Plan de Respuesta a Incidentes:
    • Procedimientos para detectar, informar y responder a incidentes de seguridad.
    • Equipo designado de respuesta a incidentes.
  • Procedimientos de Notificación:
    • Obligación de notificar a los Clientes y autoridades sobre brechas de datos personales sin demora indebida.

1.5 Gestión de Proveedores

  • Diligencia Debida:
    • Evaluación de los Sub-procesadores para verificar el cumplimiento de las normas de protección de datos.
  • Contratos:
    • Garantizar que los acuerdos con Sub-procesadores incluyan obligaciones de protección de datos.

2. Medidas Técnicas

2.1 Cifrado de Datos

  • En Tránsito:
    • Los datos personales se cifran durante la transmisión por redes públicas mediante TLS 1.2 o superior.
  • En Reposo:
    • Los datos personales almacenados en bases de datos y copias de seguridad se cifran con los servicios de cifrado de AWS (p. ej., cifrado AES-256 para volúmenes EBS y cifrado de RDS).

2.2 Seguridad de Red

  • Infraestructura de AWS:
    • Nuestro Servicio se aloja en Amazon Web Services (AWS), aprovechando su infraestructura y servicios seguros.
  • Cortafuegos y Security Groups:
    • Se utilizan AWS Security Groups para controlar el tráfico entrante y saliente hacia los recursos, actuando como cortafuegos virtuales a nivel de instancia.
  • Virtual Private Cloud (VPC):
    • La AWS VPC está configurada para aislar y asegurar el tráfico de red.
    • Se utilizan subredes privadas para los recursos internos, garantizando que las bases de datos y cachés no estén expuestas a Internet pública.
  • AWS CloudFront y Application Load Balancer (ALB):
    • AWS CloudFront actúa como red de distribución de contenido (CDN) y punto de entrada, proporcionando una distribución segura y eficiente.
    • AWS ALB distribuye el tráfico entrante a los contenedores de Amazon ECS (Elastic Container Service) que alojan la aplicación.
  • Detección de Intrusiones y Monitorización de Amenazas:
    • Aunque no se utilizan sistemas IDS/IPS dedicados, los servicios de AWS ofrecen capacidades de monitorización del tráfico de red.

2.3 Seguridad del Sistema

  • Gestión de Configuración Segura:
    • La infraestructura se gestiona con Terraform, lo que permite configuraciones coherentes y seguras en todos los entornos.
  • Segregación de Entornos:
    • Se mantienen entornos separados para desarrollo (“sandbox”), staging y producción a fin de probar cambios de código e infraestructura antes del despliegue.
  • Gestión de Parches:
    • Se aplican actualizaciones y parches periódicos a los sistemas operativos y aplicaciones, aprovechando los servicios y la automatización de AWS cuando corresponde.

2.4 Seguridad de la Aplicación

  • Prácticas de Desarrollo Seguro:
    • Adopción de los principios del Ciclo de Vida de Desarrollo de Software Seguro (SSDLC).
    • Se realizan revisiones de código periódicas, análisis estático y pruebas de seguridad.
  • Pruebas de Penetración:
    • Se llevan a cabo evaluaciones de seguridad y escaneos de vulnerabilidades periódicos, incluyendo pruebas de penetración de terceros cuando corresponde.

2.5 Control de Acceso

  • AWS Identity and Access Management (IAM):
    • El control de acceso basado en roles (RBAC) se aplica mediante roles y políticas de AWS IAM.
    • El acceso a los recursos de AWS se otorga según el principio de mínimo privilegio.
  • Autenticación Multifactor (MFA):
    • Se requiere MFA para todo acceso administrativo a las interfaces de gestión de AWS.
  • Registro y Monitorización:
    • AWS CloudTrail se utiliza para registrar las llamadas API y las acciones dentro del entorno de AWS.
    • AWS CloudWatch supervisa registros y métricas para detectar anomalías.

2.6 Copia de Seguridad y Recuperación de Datos

  • Copias de Seguridad Regulares:
    • Se realizan copias de seguridad automatizadas de las bases de datos mediante las funciones de backup automático de AWS RDS.
  • Copias de Seguridad Cifradas:
    • Los datos de las copias de seguridad se cifran en reposo mediante AWS Key Management Service (KMS).
  • Plan de Recuperación ante Desastres:
    • Existen procedimientos documentados para la restauración de datos y la continuidad del servicio.
  • Pruebas de Procesos de Recuperación:
    • Se realizan pruebas periódicas de los procedimientos de restauración y recuperación de backups.

2.7 Seguridad Física

  • Centros de Datos de AWS:
    • Los controles de seguridad física son gestionados por AWS, incluidos:
      • 24/7 security personnel.
      • Biometric access controls.
      • CCTV surveillance.
      • Environmental controls like fire suppression and climate control.
  • Cumplimiento de AWS:
    • Los centros de datos de AWS cumplen con estándares de la industria como ISO 27001 y SOC 1/2/3, lo que respalda nuestros esfuerzos de cumplimiento.

2.8 Seguridad de Endpoints

  • Políticas de Seguridad de Dispositivos:
    • Los dispositivos de la empresa se aseguran con:
      • Full disk encryption.
      • Up-to-date anti-malware software.
      • Strong authentication mechanisms.
  • Acceso Remoto:
    • Se requieren conexiones VPN seguras para el acceso remoto a los sistemas internos cuando corresponda.
  • Capacidades de Borrado Remoto:
    • Capacidad de borrar remotamente los dispositivos de la empresa en caso de pérdida o robo.

2.9 Registro y Monitorización

  • Registro Exhaustivo:
    • Se mantienen registros detallados de actividades del sistema, accesos y errores.
  • Monitorización de Seguridad:
    • Supervisión en tiempo real de eventos de seguridad mediante servicios de AWS como CloudWatch y GuardDuty.
  • Alertas:
    • Se configuran alertas automáticas para actividades sospechosas o incidentes de seguridad.

2.10 Minimización y Seudonimización de Datos

  • Minimización de Datos:
    • Recopilar y procesar únicamente los datos personales necesarios para los fines especificados.
  • Seudonimización y Anonimización:
    • Cuando corresponde, los datos personales se seudonimizan o anonimizan para reducir el riesgo para los interesados.

3. Pruebas y Evaluaciones Periódicas

  • Escaneo de Vulnerabilidades:
    • Escaneo automático periódico de sistemas para detectar vulnerabilidades, utilizando herramientas compatibles con entornos AWS.
  • Auditorías de Seguridad:
    • Se realizan auditorías y evaluaciones de seguridad periódicas para evaluar la eficacia de las medidas de seguridad.
  • Revisiones AWS Well-Architected:
    • Revisiones periódicas utilizando el AWS Well-Architected Framework para garantizar el seguimiento de las mejores prácticas.

4. Cumplimiento de Normas

  • Cumplimiento Normativo:
    • Cumplimiento del RGPD y otras leyes de protección de datos aplicables.
  • Alineación con Mejores Prácticas:
    • Alineación de las prácticas de seguridad con las mejores prácticas y directrices del sector, incluyendo:
  • Mejores Prácticas de Seguridad de AWS.
    • Marco de Ciberseguridad del NIST.

5. Protección de Datos desde el Diseño y por Defecto

  • Evaluaciones de Impacto en la Privacidad (PIA):
    • Realizado para nuevas actividades de tratamiento o cambios significativos en procesos existentes.
  • Configuraciones Seguras por Defecto:
    • Los sistemas y aplicaciones se configuran para garantizar que, por defecto, solo se procesen los datos personales necesarios.

6. Concienciación y Formación

  • Educación de Empleados:
    • Sesiones de formación periódicas sobre políticas, procedimientos y mejores prácticas de protección de datos, incluyendo capacitación de seguridad específica de AWS.
  • Programas de Concienciación en Seguridad:
    • Iniciativas continuas para promover una cultura de seguridad y privacidad dentro de la organización.

7. Seguridad de Sub-procesadores

  • Modelo de Responsabilidad Compartida de AWS:
    • Comprender y adherirse al Modelo de Responsabilidad Compartida de AWS, donde AWS es responsable de la seguridad «de» la nube y nosotros de la seguridad «en» la nube.
  • Gestión de Proveedores:
    • Evaluaciones periódicas de los Sub-procesadores para asegurar que cumplan nuestros requisitos de seguridad y cumplimiento.

8. Gestión de Incidentes

  • Detección e Informes:
    • Sistemas establecidos para detectar rápidamente incidentes de seguridad mediante servicios de monitorización de AWS.
  • Procedimientos de Respuesta:
    • Pasos definidos para la contención, erradicación, recuperación y comunicación.
  • Obligaciones de Notificación:
    • Procedimientos para notificar a los Clientes y autoridades sobre brechas de datos personales sin demora indebida.

9. Retención y Eliminación de Datos

  • Políticas de Retención de Datos:
    • Los datos personales se conservan solo durante el tiempo necesario para los fines para los que fueron recopilados o según lo exija la ley.
  • Eliminación Segura:
    • Al finalizar el período de retención, los datos personales se eliminan de forma segura o se anonimizan.
  • Solicitudes de Eliminación de Datos:
    • Procesos establecidos para gestionar las solicitudes de supresión de los interesados en cumplimiento del RGPD.

10. Información de Contacto

Para cualquier pregunta o inquietud sobre nuestras medidas técnicas y organizativas, póngase en contacto con nuestro Responsable de Protección de Datos (DPO):

  • Nombre: Klas Karlsson
  • Correo electrónico: dpo@deskhero.com
  • Teléfono: +46 70 601 13 22

Nota: Este documento puede actualizarse periódicamente para reflejar cambios en nuestras prácticas de seguridad. Notificaremos a los Clientes los cambios significativos según lo indicado en nuestra Política de Privacidad y Acuerdo de Procesamiento de Datos.