Este documento complementa el Anexo II: Medidas técnicas y organizativas del Anexo de procesamiento de datos (DPA) entre Vtiger y el Cliente según el Art. 28 (Procesador) GDPR (Reglamento general de protección de datos de la UE).
Vtiger implementa medidas técnicas y organizativas según el artículo 32 (Seguridad del procesamiento) del RGPD. Estas medidas se mejoran continuamente según la viabilidad y la última tecnología, incluida la certificación ISO 27001 activa para mejorar la seguridad y la protección.
En Vtiger, estamos comprometidos a mantener y hacer cumplir diversas políticas, estándares y procesos para proteger los datos personales y otros datos a los que acceden nuestros empleados. Nuestra dedicación a la protección de datos incluye contar con un equipo especializado en privacidad y seguridad, brindar protección de datos para partes externas, garantizar una protección consistente en toda la organización, un control estricto sobre los subcontratistas y realizar auditorías y certificaciones periódicas. Actualizamos estas medidas periódicamente para garantizar que estén alineadas con los estándares de la industria.
La siguiente descripción de medidas técnicas y organizativas se diferenciará, en su caso, en función de estas categorías de datos.
1. Confidencialidad
1.1 Control de acceso físico
Existen medidas para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos utilizados para procesar datos personales.
Medidas Técnicas
Edificio cerrado y oficina
Acceso biométrico
Sistema de bloqueo manual
Puertas con sistema de cierre automático.
Personal de seguridad
Video Vigilancia de Entrada
No hay servidores de producción en el sitio
Medidas organizativas
Lista de verificación de regulaciones clave
Recepción con personal de guardia de seguridad.
Libro de visitantes
Insignia de empleado/visitante
Visitante acompañado por empleado
Política de seguridad de la información
Instrucciones de Trabajo Control de Acceso
Si bien Vtiger prioriza la seguridad de los datos, es importante reconocer el modelo de responsabilidad compartida en la computación en la nube. Vtiger utiliza proveedores de servicios en la nube (CSP) como AWS, DigitalOcean y OV para proporcionar recursos en la nube. Estos CSP protegen la infraestructura subyacente y mantienen controles de seguridad sólidos. Más detalles sobre cómo se pueden encontrar los controles de seguridad del ISP aqui.
1.2 Control de acceso lógico
Existen medidas de seguridad para evitar el acceso no autorizado a los sistemas de procesamiento de datos.
Medidas Técnicas
Inicie sesión con un nombre de usuario y contraseña segura
Firewall
sistema de deteccion de intrusos
Utilice VPN para acceso remoto
Cifrado de discos, dispositivos/portátiles/tabletas
Autenticación de dos factores
Bloqueo automático de escritorio/portátil
Software antivirus instalado en dispositivos y servidores.
El acceso es monitoreado y registrado
Bloqueo automático de cuenta cuando inicios de sesión/autenticaciones fallidos
Toda la actividad de uso y los cambios de datos se registran
Medidas organizativas
Gestión de permisos de usuario, incluida la autorización basada en roles
Crear perfiles específicos de usuario
Política de seguridad de la información
Política de contraseñas
Política de dispositivos móviles
Instrucciones de trabajo: SOP de seguridad informática y control de acceso de empleados
Verificación de empleados
Capacitación y Concienciación
Principio de minimis
Acceso de empleados y control de clientes de Vtiger
Los empleados de Vtiger pueden acceder a los productos de Vtiger y a los datos de los clientes solo a través de interfaces seguras. Este acceso se otorga únicamente cuando los clientes lo habilitan explícitamente en su configuración. Las solicitudes de acceso total se registran meticulosamente con fines de auditoría.
Vtiger limita el acceso de los empleados a personal específico según sea necesario, garantizando que solo las personas autorizadas puedan ver los datos de los clientes por motivos legítimos. Se accede a la aplicación del cliente para:
Brindar atención al cliente
Solución de problemas técnicos experimentados por los clientes.
Identificar y responder a posibles amenazas a la seguridad.
1.3 Control de autorización
Existen medidas para garantizar que solo las personas autorizadas puedan acceder al sistema de procesamiento de datos. Los datos personales no se pueden leer, copiar, modificar ni eliminar sin la autorización adecuada durante el procesamiento, uso y almacenamiento.
Medidas Técnicas
Eliminación física de soportes/dispositivos de datos
Acceso cifrado SSH
Cifrado SSL certificado
Triturar archivos y papeles que ya no se utilizan
Eliminación automática de copias de seguridad del archivo después del período de retención o cuando el cliente lo solicite
Registro de accesos a aplicaciones, específicamente al ingresar, cambiar y eliminar datos.
Medidas organizativas
Política de seguridad de la información
Minimizar los roles de administradores
Gestión de derechos de usuario por parte de administradores.
Instrucciones de trabajo sobre el manejo de la información y los bienes.
1.4 Control de separación
Se implementan medidas estrictas de segregación de datos para garantizar que los datos recopilados para diferentes propósitos permanezcan aislados. Esto incluye la separación lógica, donde los datos se clasifican y almacenan en distintas secciones dentro del sistema, y potencialmente la separación física, donde los datos se almacenan en hardware completamente diferente.
Medidas Técnicas
Separación física (sistemas/bases de datos/soportes de datos)
Multiinquilino de aplicaciones relevantes
La aplicación del cliente y los datos están lógicamente separados
Puesta en escena del entorno de desarrollo, prueba y producción.
Medidas organizativas
Política de seguridad de la información
Política de protección de datos
Control mediante concepto de autorización
Instrucción laboral para: Seguridad operativa y, Seguridad en el desarrollo y pruebas de software.
1.5 Control de cifrado
Se implementan medidas para proteger los datos en tránsito y en reposo mediante el uso de metodología avanzada.
Medidas Técnicas
Cifrado de datos en tránsito (en movimiento)
Se implementaron los protocolos Transport Layer Security (TLS 1.2 y superior) y Secure Sockets Layer (SSL) para todas las transmisiones de datos.
Estos protocolos cifran los datos a medida que viajan entre sistemas, haciéndolos ilegibles para cualquiera que los intercepte.
Cifrado de datos en reposo (almacenado)
Discos de almacenamiento: cifrados con cifrado a nivel de disco
Datos confidenciales: cifrados con AES-256 (estándar de cifrado avanzado de 256 bits)
Gestión de claves: Servicio de gestión de claves de AWS (KMS)
Copias de seguridad: cifradas con AES-256 en AWS S3
Enmascaramiento de datos: los detalles específicos del cliente están ofuscados.
Medidas organizativas
Rotación de claves: rotación regular de las claves de cifrado utilizadas para datos y copias de seguridad para minimizar el riesgo asociado con una clave comprometida.
Control de acceso: restrinja el acceso a las claves de cifrado a un número limitado de personal autorizado según la estricta necesidad de saberlo.
Auditoría: mantenga registros detallados de uso de claves para monitorear el acceso e identificar posibles anomalías.
2 Integridad
2.1 Control de transferencia
Existen medidas para evitar el acceso no autorizado a datos personales durante la transmisión electrónica o mientras se almacenan en dispositivos de almacenamiento de datos, garantizando que no puedan leerse, copiarse, modificarse ni eliminarse.
Medidas Técnicas
Uso de VPN
Registro de accesos y recuperaciones.
Aprovisionamiento a través de conexiones cifradas como SFTP, HTTPS y almacenes seguros en la nube
Medidas organizativas
Estudio de los procesos regulares de recuperación y transmisión.
Cuidada selección del personal y de los vehículos de transporte.
Entrega personal con protocolo.
Política de seguridad de la información
Política de protección de datos
2.2 Control de entrada
Existen medidas para verificar y revisar quién ha ingresado, modificado o eliminado datos personales de los sistemas de procesamiento de datos. El registro controla la entrada en diferentes niveles, como el sistema operativo, la red, el firewall, la base de datos y la aplicación.
Medidas Técnicas
Registro técnico de entrada, modificación y eliminación de datos.
Control manual o automatizado de los logs (según estrictas especificaciones internas)
Medidas organizativas
Encuesta sobre qué programas se pueden utilizar para ingresar, cambiar o eliminar qué datos
Trazabilidad de la entrada, modificación y eliminación de datos a través de nombres de usuarios individuales
Cesión de derechos para ingresar, cambiar y eliminar datos en base a un concepto de autorización
Responsabilidades claras por las eliminaciones
Política de seguridad de la información
3. Disponibilidad y resiliencia
3.1 Control de disponibilidad
Existen medidas para proteger los datos personales contra la destrucción o pérdida accidental (por ejemplo, UPS, aire acondicionado, protección contra incendios, copias de seguridad de datos, almacenamiento seguro en medios de datos).
Medidas Técnicas
Un mínimo de 99.9% de tiempo de actividad (excluyendo el mantenimiento programado las noches del fin de semana).
Disponibilidad continua de datos
Sistemas de detección de incendios y humo.
Sala de servidores de extintores
Monitoreo de temperatura y humedad de la sala de servidores
Climatización de sala de servidores
Sistema UPS y generadores diesel de emergencia.
Regletas protectoras para enchufes en la sala de servidores
Sistema RAID/duplicación del disco duro
Sala de servidores de videovigilancia
Medidas organizativas
Concepto de copia de seguridad
Existencia de un plan de emergencia
Almacenamiento de copias de seguridad fuera del sitio
Separación de particiones de datos y sistema operativo si es necesario
3.2 Control de recuperabilidad
Existen medidas para restablecer rápidamente el acceso a los datos personales en caso de un incidente físico o técnico.
Medidas Técnicas
Monitoreo e informes de respaldo
Restaurabilidad desde herramientas de automatización
Concepto de respaldo según criticidad y especificaciones del cliente.
Medidas organizativas
Plan de recuperación en un desastre
Control del proceso de copia de seguridad
Pruebas periódicas de recuperación de datos y registro de resultados.
Almacene los medios de respaldo en un lugar seguro fuera de la sala del servidor
Existencia de un plan de emergencia
4. Procedimientos para la revisión, valoración y evaluación periódicas
4.1 Gestión de Protección de Datos (DPM)
La Gestión de la Protección de Datos (DPM) abarca una estrategia integral y un conjunto de prácticas para asegurar, gestionar y salvaguardar la información confidencial a lo largo de su ciclo de vida. Esto incluye controlar el acceso, evitar el uso no autorizado y garantizar la recuperación de datos en caso de incidentes.
Medidas Técnicas
Documentación central de toda la normativa de protección de datos con acceso para empleados
Certificación de seguridad según ISO 27001
Se lleva a cabo una revisión de la eficacia de los TOM al menos una vez al año y los TOM se actualizan.
Medidas organizativas
Se nombra un Delegado de Protección de Datos (DPO).
Todos los miembros del personal han sido capacitados y están obligados a mantener la confidencialidad y el secreto de los datos. Reciben formación periódica de sensibilización al menos una vez al año.
Las Evaluaciones de Impacto de la Protección de Datos (DPIA) se llevan a cabo según sea necesario.
Se han establecido procesos para cumplir con las obligaciones de información según los artículos 13 y 14 del RGPD.
Existe un proceso formalizado para manejar las solicitudes de información de los interesados.
Los aspectos de protección de datos están integrados en nuestra gestión de riesgos corporativos.
Partes clave de la empresa, incluidas las operaciones del centro de datos, cuentan con la certificación ISO 27001 y se realizan auditorías de seguimiento anuales.
4.2 Gestión de respuesta a incidentes
Existen medidas implementadas para respaldar la respuesta a las violaciones de seguridad y el proceso de violación de datos.
Medidas Técnicas
Uso de firewall y actualización periódica.
Uso de filtro de spam y actualización periódica.
Uso de escáner de virus y actualización periódica.
Sistema de detección de intrusiones (IDS) para sistemas de clientes bajo pedido
Sistema de prevención de intrusiones (IPS) para sistemas de clientes bajo pedido
Medidas organizativas
Un proceso documentado para identificar y reportar incidentes de seguridad y violaciones de datos, incluidas las obligaciones de informar a las autoridades supervisoras.
El procedimiento estándar para la gestión de incidentes de seguridad que involucran al Delegado de Protección de Datos (DPO)
Documentar incidentes de seguridad y violaciones de datos utilizando el sistema interno de tickets.
El proceso estándar para el seguimiento de incidentes de seguridad y violaciones de datos
Política de notificación de infracciones
4.3 Protección de datos por diseño y por defecto
Existen medidas para cumplir con los principios de protección de datos desde el diseño y por defecto según el artículo 25 del RGPD.
Medidas Técnicas
Aprobación de aplicaciones de terceros: se requiere la aprobación de los líderes de equipo y los gerentes de operaciones de TI para todas las aplicaciones de terceros utilizadas en el desarrollo.
Fuente de descarga segura: exija descargas de herramientas de desarrollo solo desde fuentes seguras, como servidores del fabricante.
Inicio de sesión único (SSO): implemente SSO siempre que sea posible para que las aplicaciones de terceros administren el acceso de forma centralizada.
Desactivación de aplicaciones menos seguras: deshabilite las aplicaciones de terceros menos seguras de forma predeterminada a través de las configuraciones del administrador.
Medidas organizativas
Diseño consciente de la privacidad: Fomente el desarrollo de productos que minimicen la cantidad de datos que los usuarios deben ingresar. Evite campos de datos innecesarios o hágalos opcionales.
Configuración de privacidad predeterminada: preseleccione la configuración compatible con la privacidad de forma predeterminada para priorizar la protección de los datos del usuario.
PbD: Política de Protección de Datos (incluye principios “privacidad por diseño / por defecto”)
4.4 Control de pedidos (subcontratación, subcontratación y procesamiento de pedidos)
Existen medidas para garantizar que los datos personales procesados en nombre del cliente solo se manejen según las instrucciones del cliente.
Medidas Técnicas
Monitoreo del acceso remoto por parte de partes externas, por ejemplo, en el contexto del soporte remoto
Seguimiento de los subcontratistas en consecuencia.
Medidas organizativas
Procesar los datos según las instrucciones del cliente.
Crear instrucciones de trabajo para la gestión de proveedores y evaluación de proveedores.
Cumplir con las regulaciones sobre el uso de subcontratistas adicionales.
Seleccione cuidadosamente los subprocesadores, centrándose principalmente en la protección y seguridad de los datos.
Celebrar los acuerdos de procesamiento de datos necesarios, como el procesamiento por encargo o cláusulas contractuales estándar de la UE.
Garantizar que los empleados del contratista mantengan el secreto de los datos y cumplan con la Política de seguridad de la información.
Asegúrese de destruir los datos después de rescindir el contrato.