Medidas Técnicas y Organizativas

Vtiger - Medidas técnicas y organizativas (TOM)

Este documento complementa el Anexo II: Medidas técnicas y organizativas del Anexo de procesamiento de datos (DPA) entre Vtiger y el Cliente según el Art. 28 (Procesador) GDPR (Reglamento general de protección de datos de la UE).

Vtiger implementa medidas técnicas y organizativas según el artículo 32 (Seguridad del procesamiento) del RGPD. Estas medidas se mejoran continuamente según la viabilidad y la última tecnología, incluida la certificación ISO 27001 activa para mejorar la seguridad y la protección.

En Vtiger, estamos comprometidos a mantener y hacer cumplir diversas políticas, estándares y procesos para proteger los datos personales y otros datos a los que acceden nuestros empleados. Nuestra dedicación a la protección de datos incluye contar con un equipo especializado en privacidad y seguridad, brindar protección de datos para partes externas, garantizar una protección consistente en toda la organización, un control estricto sobre los subcontratistas y realizar auditorías y certificaciones periódicas. Actualizamos estas medidas periódicamente para garantizar que estén alineadas con los estándares de la industria.

La siguiente descripción de medidas técnicas y organizativas se diferenciará, en su caso, en función de estas categorías de datos.

1. Confidencialidad

1.1 Control de acceso físico

Existen medidas para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos utilizados para procesar datos personales.

Medidas Técnicas
  • Edificio cerrado y oficina
  • Acceso biométrico
  • Sistema de bloqueo manual
  • Puertas con sistema de cierre automático.
  • Personal de seguridad
  • Video Vigilancia de Entrada
  • No hay servidores de producción en el sitio
Medidas organizativas
  • Lista de verificación de regulaciones clave
  • Recepción con personal de guardia de seguridad.
  • Libro de visitantes
  • Insignia de empleado/visitante
  • Visitante acompañado por empleado
  • Política de seguridad de la información
  • Instrucciones de Trabajo Control de Acceso

Si bien Vtiger prioriza la seguridad de los datos, es importante reconocer el modelo de responsabilidad compartida en la computación en la nube. Vtiger utiliza proveedores de servicios en la nube (CSP) como AWS, DigitalOcean y OV para proporcionar recursos en la nube. Estos CSP protegen la infraestructura subyacente y mantienen controles de seguridad sólidos. Más detalles sobre cómo se pueden encontrar los controles de seguridad del ISP aquí.

1.2 Control de acceso lógico

Existen medidas de seguridad para evitar el acceso no autorizado a los sistemas de procesamiento de datos.

Medidas Técnicas
  • Inicie sesión con un nombre de usuario y contraseña segura
  • Firewall
  • sistema de deteccion de intrusos
  • Utilice VPN para acceso remoto
  • Cifrado de discos, dispositivos/portátiles/tabletas
  • Autenticación de dos factores
  • Bloqueo automático de escritorio/portátil
  • Software antivirus instalado en dispositivos y servidores.
  • El acceso es monitoreado y registrado
  • Bloqueo automático de cuenta cuando inicios de sesión/autenticaciones fallidos
  • Toda la actividad de uso y los cambios de datos se registran
Medidas organizativas
  • Gestión de permisos de usuario, incluida la autorización basada en roles
  • Crear perfiles específicos de usuario
  • Política de seguridad de la información
  • Política de contraseñas
  • Política de dispositivos móviles
  • Instrucciones de trabajo: SOP de seguridad informática y control de acceso de empleados
  • Verificación de empleados
  • Capacitación y Concienciación
  • Principio de minimis

Acceso de empleados y control de clientes de Vtiger

Los empleados de Vtiger pueden acceder a los productos de Vtiger y a los datos de los clientes solo a través de interfaces seguras. Este acceso se otorga únicamente cuando los clientes lo habilitan explícitamente en su configuración. Las solicitudes de acceso total se registran meticulosamente con fines de auditoría.

Vtiger limita el acceso de los empleados a personal específico según sea necesario, garantizando que solo las personas autorizadas puedan ver los datos de los clientes por motivos legítimos. Se accede a la aplicación del cliente para:

1.3 Control de autorización

Existen medidas para garantizar que solo las personas autorizadas puedan acceder al sistema de procesamiento de datos. Los datos personales no se pueden leer, copiar, modificar ni eliminar sin la autorización adecuada durante el procesamiento, uso y almacenamiento.

Medidas Técnicas
  • Eliminación física de soportes/dispositivos de datos
  • Acceso cifrado SSH
  • Cifrado SSL certificado
  • Triturar archivos y papeles que ya no se utilizan
  • Eliminación automática de copias de seguridad del archivo después del período de retención o cuando el cliente lo solicite
  • Registro de accesos a aplicaciones, específicamente al ingresar, cambiar y eliminar datos.
Medidas organizativas
  • Política de seguridad de la información
  • Minimizar los roles de administradores
  • Gestión de derechos de usuario por parte de administradores.
  • Instrucciones de trabajo sobre el manejo de la información y los bienes.

1.4 Control de separación

Se implementan medidas estrictas de segregación de datos para garantizar que los datos recopilados para diferentes propósitos permanezcan aislados. Esto incluye la separación lógica, donde los datos se clasifican y almacenan en distintas secciones dentro del sistema, y ​​potencialmente la separación física, donde los datos se almacenan en hardware completamente diferente.

Medidas Técnicas
  • Separación física (sistemas/bases de datos/soportes de datos)
  • Multiinquilino de aplicaciones relevantes
  • La aplicación del cliente y los datos están lógicamente separados
  • Puesta en escena del entorno de desarrollo, prueba y producción.
Medidas organizativas
  • Política de seguridad de la información
  • Política de protección de datos
  • Control mediante concepto de autorización
  • Instrucción laboral para: Seguridad operativa y, Seguridad en el desarrollo y pruebas de software.

1.5 Control de cifrado

Se implementan medidas para proteger los datos en tránsito y en reposo mediante el uso de metodología avanzada.

Medidas Técnicas

Cifrado de datos en tránsito (en movimiento)

  • Se implementaron los protocolos Transport Layer Security (TLS 1.2 y superior) y Secure Sockets Layer (SSL) para todas las transmisiones de datos.
  • Estos protocolos cifran los datos a medida que viajan entre sistemas, haciéndolos ilegibles para cualquiera que los intercepte.

Cifrado de datos en reposo (almacenado)

  • Discos de almacenamiento: cifrados con cifrado a nivel de disco
  • Datos confidenciales: cifrados con AES-256 (estándar de cifrado avanzado de 256 bits)
  • Gestión de claves: Servicio de gestión de claves de AWS (KMS)
  • Copias de seguridad: cifradas con AES-256 en AWS S3
  • Enmascaramiento de datos: los detalles específicos del cliente están ofuscados.
Medidas organizativas
  • Rotación de claves: rotación regular de las claves de cifrado utilizadas para datos y copias de seguridad para minimizar el riesgo asociado con una clave comprometida.
  • Control de acceso: restrinja el acceso a las claves de cifrado a un número limitado de personal autorizado según la estricta necesidad de saberlo.
  • Auditoría: mantenga registros detallados de uso de claves para monitorear el acceso e identificar posibles anomalías.

2 Integridad

2.1 Control de transferencia

Existen medidas para evitar el acceso no autorizado a datos personales durante la transmisión electrónica o mientras se almacenan en dispositivos de almacenamiento de datos, garantizando que no puedan leerse, copiarse, modificarse ni eliminarse.

Medidas Técnicas
  • Uso de VPN
  • Registro de accesos y recuperaciones.
  • Aprovisionamiento a través de conexiones cifradas como SFTP, HTTPS y almacenes seguros en la nube
Medidas organizativas
  • Estudio de los procesos regulares de recuperación y transmisión.
  • Cuidada selección del personal y de los vehículos de transporte.
  • Entrega personal con protocolo.
  • Política de seguridad de la información
  • Política de protección de datos

2.2 Control de entrada

Existen medidas para verificar y revisar quién ha ingresado, modificado o eliminado datos personales de los sistemas de procesamiento de datos. El registro controla la entrada en diferentes niveles, como el sistema operativo, la red, el firewall, la base de datos y la aplicación.

Medidas Técnicas
  • Registro técnico de entrada, modificación y eliminación de datos.
  • Control manual o automatizado de los logs (según estrictas especificaciones internas)
Medidas organizativas
  • Encuesta sobre qué programas se pueden utilizar para ingresar, cambiar o eliminar qué datos
  • Trazabilidad de la entrada, modificación y eliminación de datos a través de nombres de usuarios individuales
  • Cesión de derechos para ingresar, cambiar y eliminar datos en base a un concepto de autorización
  • Responsabilidades claras por las eliminaciones
  • Política de seguridad de la información

3. Disponibilidad y resiliencia

3.1 Control de disponibilidad

Existen medidas para proteger los datos personales contra la destrucción o pérdida accidental (por ejemplo, UPS, aire acondicionado, protección contra incendios, copias de seguridad de datos, almacenamiento seguro en medios de datos).

Medidas Técnicas
  • Un mínimo de 99.9% de tiempo de actividad (excluyendo el mantenimiento programado las noches del fin de semana).
  • Disponibilidad continua de datos
  • Sistemas de detección de incendios y humo.
  • Sala de servidores de extintores
  • Monitoreo de temperatura y humedad de la sala de servidores
  • Climatización de sala de servidores
  • Sistema UPS y generadores diesel de emergencia.
  • Regletas protectoras para enchufes en la sala de servidores
  • Sistema RAID/duplicación del disco duro
  • Sala de servidores de videovigilancia
Medidas organizativas
  • Concepto de copia de seguridad
  • Existencia de un plan de emergencia
  • Almacenamiento de copias de seguridad fuera del sitio
  • Separación de particiones de datos y sistema operativo si es necesario

3.2 Control de recuperabilidad

Existen medidas para restablecer rápidamente el acceso a los datos personales en caso de un incidente físico o técnico.

Medidas Técnicas
  • Monitoreo e informes de respaldo
  • Restaurabilidad desde herramientas de automatización
  • Concepto de respaldo según criticidad y especificaciones del cliente.
Medidas organizativas
  • Plan de recuperación en un desastre
  • Control del proceso de copia de seguridad
  • Pruebas periódicas de recuperación de datos y registro de resultados.
  • Almacene los medios de respaldo en un lugar seguro fuera de la sala del servidor
  • Existencia de un plan de emergencia

4. Procedimientos para la revisión, valoración y evaluación periódicas

4.1 Gestión de Protección de Datos (DPM)

La Gestión de la Protección de Datos (DPM) abarca una estrategia integral y un conjunto de prácticas para asegurar, gestionar y salvaguardar la información confidencial a lo largo de su ciclo de vida. Esto incluye controlar el acceso, evitar el uso no autorizado y garantizar la recuperación de datos en caso de incidentes.

Medidas Técnicas
  • Documentación central de toda la normativa de protección de datos con acceso para empleados
  • Certificación de seguridad según ISO 27001
  • Se lleva a cabo una revisión de la eficacia de los TOM al menos una vez al año y los TOM se actualizan.
Medidas organizativas
  • Se nombra un Delegado de Protección de Datos (DPO).
  • Todos los miembros del personal han sido capacitados y están obligados a mantener la confidencialidad y el secreto de los datos. Reciben formación periódica de sensibilización al menos una vez al año.
  • Las Evaluaciones de Impacto de la Protección de Datos (DPIA) se llevan a cabo según sea necesario.
  • Se han establecido procesos para cumplir con las obligaciones de información según los artículos 13 y 14 del RGPD.
  • Existe un proceso formalizado para manejar las solicitudes de información de los interesados.
  • Los aspectos de protección de datos están integrados en nuestra gestión de riesgos corporativos.
  • Partes clave de la empresa, incluidas las operaciones del centro de datos, cuentan con la certificación ISO 27001 y se realizan auditorías de seguimiento anuales.

4.2 Gestión de respuesta a incidentes

Existen medidas implementadas para respaldar la respuesta a las violaciones de seguridad y el proceso de violación de datos.

Medidas Técnicas
  • Uso de firewall y actualización periódica.
  • Uso de filtro de spam y actualización periódica.
  • Uso de escáner de virus y actualización periódica.
  • Sistema de detección de intrusiones (IDS) para sistemas de clientes bajo pedido
  • Sistema de prevención de intrusiones (IPS) para sistemas de clientes bajo pedido
Medidas organizativas
  • Un proceso documentado para identificar y reportar incidentes de seguridad y violaciones de datos, incluidas las obligaciones de informar a las autoridades supervisoras.
  • El procedimiento estándar para la gestión de incidentes de seguridad que involucran al Delegado de Protección de Datos (DPO)
  • Documentar incidentes de seguridad y violaciones de datos utilizando el sistema interno de tickets.
  • El proceso estándar para el seguimiento de incidentes de seguridad y violaciones de datos
  • Política de notificación de infracciones

4.3 Protección de datos por diseño y por defecto

Existen medidas para cumplir con los principios de protección de datos desde el diseño y por defecto según el artículo 25 del RGPD.

Medidas Técnicas
  • Aprobación de aplicaciones de terceros: se requiere la aprobación de los líderes de equipo y los gerentes de operaciones de TI para todas las aplicaciones de terceros utilizadas en el desarrollo.
  • Fuente de descarga segura: exija descargas de herramientas de desarrollo solo desde fuentes seguras, como servidores del fabricante.
  • Inicio de sesión único (SSO): implemente SSO siempre que sea posible para que las aplicaciones de terceros administren el acceso de forma centralizada.
  • Desactivación de aplicaciones menos seguras: deshabilite las aplicaciones de terceros menos seguras de forma predeterminada a través de las configuraciones del administrador.
Medidas organizativas
  • Diseño consciente de la privacidad: Fomente el desarrollo de productos que minimicen la cantidad de datos que los usuarios deben ingresar. Evite campos de datos innecesarios o hágalos opcionales.
  • Configuración de privacidad predeterminada: preseleccione la configuración compatible con la privacidad de forma predeterminada para priorizar la protección de los datos del usuario.
  • PbD: Política de Protección de Datos (incluye principios “privacidad por diseño / por defecto”)

4.4 Control de pedidos (subcontratación, subcontratación y procesamiento de pedidos)

Existen medidas para garantizar que los datos personales procesados ​​en nombre del cliente solo se manejen según las instrucciones del cliente.

Medidas Técnicas
  • Monitoreo del acceso remoto por parte de partes externas, por ejemplo, en el contexto del soporte remoto
  • Seguimiento de los subcontratistas en consecuencia.
Medidas organizativas
  • Procesar los datos según las instrucciones del cliente.
  • Crear instrucciones de trabajo para la gestión de proveedores y evaluación de proveedores.
  • Cumplir con las regulaciones sobre el uso de subcontratistas adicionales.
  • Seleccione cuidadosamente los subprocesadores, centrándose principalmente en la protección y seguridad de los datos.
  • Celebrar los acuerdos de procesamiento de datos necesarios, como el procesamiento por encargo o cláusulas contractuales estándar de la UE.
  • Garantizar que los empleados del contratista mantengan el secreto de los datos y cumplan con la Política de seguridad de la información.
  • Asegúrese de destruir los datos después de rescindir el contrato.