Tesis Broker Manager
Política de privacidad
1. Operaciones de tratamiento realizadas
La concreción de las operaciones de tratamiento a realizar en este servicio consistirá en:
Tratamientos realizados:
– Cotejo
– Consultas
– Informes
– Recogida
– Supresión
– Comunicación
– Estructuración
– Comunicación Transmisión
– Conservación
– Destrucción
– Interconexión
– Modificación
– Extracción
– Almacenamiento
– Copias de Seguridad
Tratamientos no realizados:
– Difusión
– Limitación
– Registro
2. Categoría de datos tratados
La categoría de datos de forma enunciativa que no limitativa, podrían ser:
- 1. Datos identificativos
- 2. Datos de características personales y familiares
- 3. Datos de circunstancias sociales
- 4. Datos económicos, financieros y de seguros
- 5. Datos de salud
3. Medidas de Seguridad
Medidas de Seguridad adoptadas por el Encargado:
Personal:
- Se han definido las funciones y obligaciones de los usuarios y se ha difundido entre el personal.
- Se dispone de una relación actualizada de usuarios y perfiles de usuarios y accesos autorizados para cada uno de ellos.
- Para el acceso a datos internos, cada persona dispone de un usuario y contraseña de directorio activo, así como la pertenencia a un grupo. El acceso a los datos se restringe dependiendo de dicha pertenencia. En caso de dejar de necesitar el acceso a los datos, por baja o cambio de puesto, se da de baja el acceso o se cambia de grupo de directorio activo.
- La concesión, alteración o anulación de los permisos lo realiza sólo el personal autorizado.
- Las contraseñas se almacenan de forma ininteligible.
- Se cambian las contraseñas con una periodicidad mínima de 180 días.
Copia de seguridad:
- Se realizan copias de seguridad en caliente
- Se tienen establecidos los procedimientos para la realización de copias de seguridad y recuperación de datos.
- Se restringe el acceso a los soportes de copia por la pertenencia al grupo de directorio activo responsable de su tratamiento. Evitando de esta forma accesos no autorizados.
Gestión de soportes:
- Se dispone de un inventario de soportes.
- Se restringe el acceso al lugar donde se almacenan los soportes. Estos se encuentran en un CPD con control de acceso y refrigeración constante.
- Se tienen implantadas las medidas de seguridad para el transporte y desecho de soportes.
Protección contra acceso externos no autorizados que afecten a la disponibilidad o al robo de información:
- En este caso, también se dispone de Firewall que no permite las conexiones externas no autorizadas. Sólo están habilitados aquellos servicios relevantes para la organización. También se dispone de antivirus a nivel de archivos.
Gestión de incidencias:
- Se dispone de un procedimiento de notificación y gestión de incidencias y de notificaciones de violaciones de seguridad.
- Se lleva un registro de violaciones de seguridad, conforme a lo previsto en el Reglamento General de Protección de Datos.
Seguridad en el acceso remoto:
- Se realizará las actualizaciones necesarias del software utilizado para el acceso remoto.
- El software y sistema utilizado no deberá tener vulnerabilidades conocidas que puedan afectar a la seguridad de los datos de forma innecesaria.
Verificaciones en procesos de migración de datos:
- En los procesos de migración de datos y similares se realizarán comprobaciones aleatorias para verificar la correcta realización del proceso.
Análisis de riesgo, análisis de código y testeo de seguridad.
- Se realizarán procesos para la evaluación de riesgos por el mal uso del software y análisis del código enfocados a evaluar la seguridad de la información. Asimismo, se deberán realizar auditorías para evaluar la seguridad del software en posibles ataques de terceros.
Auditoría:
- Los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría externa que verifique el cumplimiento de las medidas de seguridad y cumplimiento normativo.
- Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
- El informe de auditoría deberá asegurar el cumplimiento de las obligaciones del encargado en relación a los tratamientos de datos objeto de este contrato.
Medidas de Seguridad En Servidores subcontratados por el Encargado:
Ubicación de los datos:
- Los datos están alojados en soportes externos cuyo mantenimiento depende de un proveedor. Están alojados en FRANCIA e IRLANDA dentro del Espacio Económico Europeo, concretamente entre OVH, AMAZON WEB SERVICES EMEA SARL, (Luxemburgo), SUCURSAL EN ESPAÑA , AMAZON WEB SERVICES EMEA SARL, SUCURSAL EN ESPAÑA , AXARNET (España) y en servidores de MICROSOFT AZURE (EU) dichos proveedores cuentan con diversas certificaciones entre otras estas aquí reflejadas:
– PCI DSS
– ISO 27001-2016
– SOC 1 Tipo II (SSAE 16 Y ISAE 3402)
– SOC 2 Tipo II - A nivel de disponibilidad tiene, dependiendo del servicio, de al menos un Tier III. En cada datacenter disponen de seguridad perimetral y estricto control de acceso.
- El uso de las API de Google Workspace en procesos de validación no se utilizan para desarrollar, mejorar o entrenar modelos generalizados de IA y/o ML.
- Informacion, políticas y tratamiento sobre los servicios de autentificación subcontratados con GOOGLE:
– “No transferimos ni divulgamos su información a terceros para fines distintos a los previstos”
– “Los datos que recopilamos sobre usted son los que usted nos ha proporcionado, en este caso únicamente el correo electrónico a configurar.”
– Retendremos su información personal durante el tiempo necesario para cumplir con los fines descritos en esta política de privacidad, a menos que la ley requiera o permita un período de retención más prolongado”.
– “Cuando expire el período de retención de datos para un determinado tipo de datos, los eliminaremos o destruiremos”.
– “Usted podrá solicitar la eliminación de sus datos mediante una solicitud por correo electrónico a ”
Acceso a los datos:
- El acceso lógico al soporte donde se almacenan los datos está restringido solamente a aquellas personas que necesiten, por su cargo, acceder a dichos datos. En caso de que sea así, se les proporcionará un acceso mediante usuario y contraseña. En el caso de dejar de necesitar el acceso a los datos, se les retira dicho método de acceso.
Copia de seguridad para evitar pérdidas o alteraciones:
- Las copias de los datos de los soportes ubicados externamente se realizan en otros soportes que no comparten ubicación con los originales. Dependiendo de la importancia de dichos datos, la frecuencia puede ser desde copias diarias a copias incrementales cada pocos minutos. El acceso a los soportes de copia estará restringido, tanto para el software de copia, como para los encargados de su tratamiento, mediante usuario y contraseña específicos para ello.
Encriptación de datos y comunicaciones:
- El acceso a los datos en servidores externos se realiza mediante protocolos seguros HTTPS. Las copias de seguridad se almacenan en contenedores comprimidos y encriptados mediante contraseña, sólo disponible para aquellos responsables de su tratamiento.
Protección contra acceso externos no autorizados que afecten a la disponibilidad o al robo de información:
- El proveedor de la infraestructura externa dispone de mitigación automática de ataques DDoS. Por otro lado, cada servidor dispone de Firewall y sólo se permite el acceso a aquellos servicios relevantes para el desempeño de las funciones propias del Suscriptor.
