Medidas organizacionales y técnicas para garantizar la seguridad de la información aplicadas por RUPTELA
RUPTELA toma todas las medidas organizacionales y técnicas necesarias para garantizar la seguridad de los datos procesados y proteger los datos personales procesados de la destrucción accidental o illegal, pérdida, alteración, divulgación no autorizada o acceso a los datos personales transmitidos.
Políticas y procedimientos de seguridad de datos personales. La seguridad de los datos personales y su procesamiento en la organización se documenta como parte de la política de seguridad de la información. La política de seguridad se revisa e inspecciona anualmente.
Confidencialidad. Antes de asumir sus funciones, los empleados deben revisar y estar de acuerdo con la política de seguridad de la organización así como firmar los respectivos acuerdos de confidencialidad y no divulgación.
Formación. La organización se asegura de que todos los empleados comprendan sus responsabilidades y obligaciones relacionadas con el procesamiento de datos personales. Los roles y responsabilidades se comunican claramente durante el proceso previo al empleo y / o de inducción.
La organización garantiza que todos los empleados estén adecuadamente informados sobre los controles de seguridad del sistema de TI relacionados con su trabajo diario. Los empleados involucrados en el procesamiento de datos personales también son informados sobre los requisitos de protección de datos relevantes y las obligaciones legales a través de campañas de concienciación periódicas.
Asimismo, se designa al Delegado de Protección de Datos, quien se encarga de la protección de datos en la organización, la difusión del conocimiento y velar por el cumplimiento de la GDPR. El Delegado de Protección de Datos puede ser contactado por correo electrónico: [email protected]
Política de control de acceso. Se asignan derechos específicos de control de acceso a cada empleado que participa en el tratamiento de datos personales, siguiendo el principio de necesidad de conocimiento. Se detalla y documenta una política de control de acceso. La organización ha determinado las reglas apropiadas de control de acceso, derechos de acceso y restricciones de los empleados hacia los procesos y procedimientos relacionados con los datos personales durante la reorganización de la organización, despido de empleados o cambio de funciones.
Gestión de control de acceso. El acceso a los recursos internos de Ruptela está protegido y gestionado a través de Active Directory. La autenticación multifactor O365 está habilitada para todos los usuarios. Además de los sistemas O365 que contienen datos de clientes, solo los empleados autorizados pueden acceder desde la red interna con sus cuentas únicas. El acceso se eliminará inmediatamente después del termino del contrato del empleado. Cada 6 meses se realiza una auditoría de cuentas para garantizar que no haya cuentas no autorizadas.
Gestión del cambio. Todos los cambios en el sistema de TI son registrados y monitoreados por el empleado asignado.
Cifrado. Las soluciones de Ruptela utilizan SSL / TLS con algoritmos de cifrado de alto grado para proteger hacia el exterior los serivicios de los finales de línea. Además de esto, Ruptela también está aprovechando IPSec VPN con cifrado de alto grado para asegurar la comunicación entre sitios remotos o finales de línea de servicio.
Respaldo. Las copias de seguridad se realizan al menos una vez al día. Todos los datos almacenados en bases de datos de producción tienen réplicas. La base de datos coordinada se replica en tres nodos separados (quórum). Los usuarios finales no son elegibles para eliminar información directamente a nivel de base de datos.
Inicio sesión. Ruptela está utilizando una solución de registro que realiza un seguimiento de los cambios que se realizaron en las máquinas virtuales. Las acciones de los usuarios del sistema (inicios / cierres de sesión, eliminación, ingreso) también se monitorean y pueden ser identificados a través de la dirección IP del usuario.
Continuidad del negocio. Ruptela ha establecido los principales procedimientos y controles a seguir para asegurar el nivel requerido de continuidad y disponibilidad del sistema de TI de procesamiento de datos personales en caso de incidente / violación de datos personales. El plan de continuidad del negocio se prueba periódicamente para evaluar si será posible garantizar un servicio ininterrumpido en caso de incidente.
Violaciones e incidentes de datos. Ruptela ha establecido un plan de respuesta a incidentes de seguridad que asegura una manejo eficaz de los incidentes relacionados con la seguridad de datos personales. Los incidentes y violaciones son registrados. Se informan a la dirección sin demoras indebidas. Se han establecido procedimientos de notificación para informar de las infracciones a las autoridades competentes y a los interesados.
Procesadores de datos. Las guías y procedimientos formales que cubren el procesamiento de datos personales por parte de los procesadores de datos (contratistas / subcontratación) se definen, documentan y acuerdan antes del comienzo de las actividades del procesamiento.
Evaluación del impacto de la protección de datos. Al elegir los sistemas de información necesarios para las actividades de la organización, se evalúa el impacto en la protección de datos de acuerdo con GDPR. Solo se utiliza software certificado, que se actualiza con regularidad.
Control de acceso físico. El acceso a la parte inicial está protegido por un sistema de control de acceso.
Protección de malware. Todas las estaciones de trabajo están protegidas por un antivirus, tienen el sistema operativo Microsoft Windows 10 con las últimas actualizaciones de seguridad y se administran de forma centralizada. Los discos duros de las estaciones de trabajo están encriptados.
Gestión de consultas. Todas las consultas de los clientes se registran en un sistema centralizado especificando la hora de la consulta. El inicio de sesión en el sistema está controlado por contraseña. El sistema gestiona incidentes, cambios y consultas. Se garantiza la gestión centralizada de problemas y cambios. La calidad de la operación de los sistemas del cliente se asegura mediante un monitoreo continuo donde cada evento es registrado y analizado en un sistema centralizado. Los incidentes se gestionan de acuerdo con un plan de respuesta a incidentes establecido, informando a las personas responsables y, si es necesario, formando un Equipo de Gestión de Continuidad de Negocio. Se realizan pruebas y capacitaciones periódicas, establecidas en el plan de continuidad del negocio.
Software. Se implementan para las vulnerabilidades de seguridad del software correcciones críticas e importantes para todo el software.
Centros de datos. Ruptela almacena sus servidores en dos centros de datos que son Nivel 3 y diseño certificado Nivel 3. Los datos se almacenan en la Comunidad Económica Europea y no se transfieren a países del tercer mundo.