Estándares de seguridad
Fecha de la última revisión: 9 de mayo de 2018

I.  Medidas técnicas y organizativas

Nos comprometemos a proteger la información de nuestros clientes.  Considerando las mejores prácticas, los costos de la implementación y la naturaleza, el alcance, las circunstancias y el propósito del procesamiento como así también las distintas posibilidades de ocurrencia y la gravedad del riesgo para los derechos y libertades de las personas naturales, tomamos las siguientes medidas técnicas y organizativas.  En la selección de las medidas se tomó en cuenta la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas. Se garantiza la rápida recuperación después de un incidente físico o técnico.

Nuestro Programa de privacidad de datos se creó para mantener la estructura global del gobierno de datos y garantizar la información durante todo su ciclo de vida. Este programa está a cargo de la oficina del responsable de protección de datos que supervisa la implementación de las prácticas de privacidad y medidas de seguridad. Periódicamente probamos, evaluamos y analizamos la eficacia del Programa de Privacidad de Datos y los Estándares de Seguridad. Periódicamente probamos, evaluamos y analizamos la eficacia del Programa de Privacidad de Datos y los Estándares de Seguridad.

1. Confidencialidad. “Confidencialidad quiere decir que los datos personales están protegidos contra la revelación no autorizada”.  

Usamos distintas medidas físicas y lógicas para proteger la confidencialidad de los datos personales de los clientes. Esas medidas incluyen:   

Seguridad física  

• Sistemas de control de acceso físico implementados (control de acceso con credencial, monitoreo de eventos de seguridad, etc.) 
• Sistemas de vigilancia, incluidas alarmas y, si corresponde, monitoreo por CCTV  
• Políticas de escritorio limpio y controles (bloqueo de computadoras que están desatendidas, gabinetes cerrados con llave, etc.)  
•  Administración de acceso de visitante 
• Destrucción de datos en medios físicos y documentos;(trituración, desmagnetización, etc.) 

Control de acceso y Prevención de acceso no autorizado

• Restricciones de acceso del usuario; permisos de acceso aplicados y basados en la función provistos/revisados en base al principio de segregación de funciones  
• Autenticación y métodos de autorización sólidos (autenticación multifactor, autorización basada en certificado, desactivación/desconexión automática, etc.) 
• Gestión de contraseña centralizada y políticas de contraseñas seguras/complejas (largo mínimo, complejidad de caracteres, vencimiento de la contraseña, etc.)   
• Acceso controlado a correos electrónicos e Internet 
• Administración del antivirus  
• Administración del Sistema de Prevención de Intrusiones  

Encriptación  

• Encriptación de comunicaciones externas e internas por medio de protocolos de criptografía segura  
• Encriptación de datos de información de identificación personal (IIP)/información de identificación personal sensible (IIPS) almacenados (bases de datos, directorios compartidos, etc.)   
• Encriptación completa del disco para las PC y las computadoras portátiles de la empresa   
• Encriptación de los medios de almacenamiento  
• Las conexiones remotas a las redes de la compañía están encriptadas por medio de VPN  
• Garantizar el ciclo de vida de las claves de encriptación  

Minimización de datos

• Minimización de IIP/IPS en registros de aplicación, depuración y seguridad  
• Seudonimización de los datos personales para evitar la identificación directa de una persona 
• Segregación de datos almacenados por función (pruebas, pruebas en simulación, datos activos) 
• Segregación lógica de datos por derechos de acceso basados en la función 
• Período definido de retención de datos para datos personales   

Prueba de seguridad

• Prueba de penetración para redes y plataformas críticas de empresas que brindan servicios de hosting a datos personales 
• Análisis periódicos de la red y la vulnerabilidad   

2. Integridad. “La integridad se refiere a garantizar la exactitud (integridad) de los datos y el correcto funcionamiento de los sistemas. Cuando el término integridad se usa en relación con el término “datos”, significa que los datos están completos y no tienen cambios”.  

Se han implementado los controles adecuados de administración de cambios y registros, además de controles de acceso para poder mantener la integridad de los datos personales, como:    

Gestión de cambio y versiones  

• Proceso de gestión de cambio y versiones que incluye (análisis del impacto, aprobaciones, pruebas, revisiones de seguridad, pruebas en simulación, monitoreo, etc.)  
• Provisión de acceso basado en el papel y la función (Segregación de Funciones) sobre entornos de producción    

Registro y monitoreo

• Registro de acceso y cambios en los datos  
• Auditoría centralizada y registros de seguridad   
• Monitoreo de la integridad y exactitud de la transferencia de datos (verificación de principio a fin)    

3. Disponibilidad. “La disponibilidad de los servicios y de los sistemas de TI, las aplicaciones de TI y las funciones de la red de TI o de la información está garantizada si los usuarios pueden usarlos en todo momento que deseen”.    

Implementamos medidas adecuadas de continuidad y seguridad para mantener la disponibilidad de sus servicios y datos que residen dentro de esos servicios:    

• Pruebas periódicas de recuperación ante fallos aplicadas a servicios críticos  
• Monitoreo exhaustivo de desempeño/disponibilidad e informes para sistemas críticos  
• Programa de respuesta a incidentes  
• Datos críticos replicados o guardados (replicación en la nube de Copias de seguridad/Discos duros/Base de datos, etc.) 
• Mantenimiento planificado del software, la infraestructura y la seguridad (actualizaciones del software, parches de seguridad, etc.)   
• Sistemas redundantes y resilientes (grupos de servidores, bases de datos en espejo, configuraciones de alta disponibilidad, etc.) ubicados fuera del sitio y/o en lugares separados geográficamente    
• Uso de sistemas de suministro de energía ininterrumpido, sistema redundante contra fallas del hardware y la red  
• Alarma, sistemas de seguridad incorporados  
• Medidas de protección física incorporadas para sitios críticos (protección contra sobretensiones, pisos elevados, sistemas de refrigeración, detectores de fuego y/o humo, sistemas contra incendios, etc.) 
• Protección contra DDOS para mantener la disponibilidad   
• Prueba de carga y fuerza  

4. Instrucciones para el procesamiento de datos. “Las Instrucciones para el procesamiento de datos se refieren a garantizar que los datos personales se procesarán únicamente de acuerdo con las instrucciones del controlador de datos y las medidas relacionadas de la compañía”  

Hemos establecido políticas de privacidad internas, acuerdos y realizamos capacitaciones periódicas sobre privacidad para los empleados para garantizar que los datos personales se procesan de acuerdo con las preferencias e instrucciones de los clientes.   

• Términos de privacidad y confidencialidad dentro de los contratos del empleado 
• Capacitaciones periódicas para los empleados sobre privacidad y seguridad de datos
• Las correspondientes disposiciones contractuales a los contratos con los subcontratistas para mantener los derechos de controles de instrucción 
• Controles regulares de privacidad para proveedores externos de servicios 
• Proporcionar a los clientes control total sobre sus preferencias de procesamiento de datos 
• Auditorías regulares de seguridad