Medidas de seguridad de la información de TestGorilla

Versión v1 – Agosto 2022

1. Alcance

Teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del procesamiento, el estado de la técnica, los costos de implementación, así como el riesgo de probabilidad y gravedad variables de los derechos y libertades de las personas físicas, este documento describe las medidas técnicas y organizativas que la Empresa tiene implementadas y que se implementarán para asegurar Datos Personales, Datos de Usuario Final y Datos de Systems (colectivamente, “Datos”) por cualquier Producto de la Empresa (“Medidas”).

2. Definiciones

“Acuerdo” se refiere a cualquier Acuerdo de usuario final de la empresa subyacente, Acuerdo de servicios maestros, Carta de compromiso, Declaración de trabajo u otro acuerdo legalmente firmado y vinculante por escrito o electrónico celebrado entre la Empresa y el Cliente que rige la provisión de Productos por parte de la Empresa.

“Datos del Usuario Final” se refiere a los datos que el Cliente proporciona a la Empresa o que son proporcionados en su nombre durante la relación regida por el Acuerdo. Para evitar dudas, los Datos de Usuario Final no incluyen Datos del sistema.

“Datos Personales” se refiere a cualquier información Procesada en nombre del Cliente durante la provisión de un Producto que (i) se relaciona con una persona física identificada o identificable; o (ii) se define como “información de identificación personal”, “información personal”, “datos personales” o términos similares, según se definen dichos términos bajo las Leyes de Protección de Datos, incluso según se puedan usar en este DPA.

“Producto” significa, colectivamente, Hardware, Software, Suscripción o cualquier combinación de los mismos, independientemente de si el Producto se adquirió o no bajo un Programa Empresarial.

“Datos del sistema” se refiere a los datos generados y/o recopilados en relación con el uso de los Productos por parte del Cliente, como registros, datos de sesión, datos de telemetría, datos de soporte, datos de uso, inteligencia de amenazas o datos de actores, estadísticas, datos agregados, datos de flujo neto, copias de archivos potencialmente maliciosos detectados por el Producto y derivados de los mismos.

Todos los términos en mayúscula no definidos en estas Medidas tendrán los significados establecidos en el Acuerdo.

3. Gestión de la seguridad

  • Programa de seguridad. La Empresa mantiene un programa de seguridad de la información escrito que:

    • es administrado por un empleado de alto nivel responsable de supervisar e implementar el programa;

    • incluye salvaguardas administrativas, técnicas y físicas razonablemente diseñadas para proteger la confidencialidad, integridad y disponibilidad de los Datos;

    • es apropiado para la naturaleza, el tamaño y la complejidad de las operaciones comerciales de la Empresa.

  • Seguridad del personal.

    • Las habilidades y competencias de los empleados y contratistas se evalúan como parte del proceso de contratación. Las habilidades y competencias requeridas se enumerarán en las descripciones y solicitudes de puestos. Las evaluaciones de competencias pueden incluir comprobaciones de referencias, verificaciones de educación y certificación, pruebas técnicas y entrevistas.

4. Diligencia debida para subcontratistas

La Empresa:

  • evaluar las capacidades de seguridad de dichos subcontratistas de forma periódica para garantizar la capacidad de los subcontratistas para cumplir con las Medidas descritas en este documento;

  • aplicar requisitos de seguridad de la información por escrito que obliguen a los subcontratistas a cumplir con las políticas y estándares de seguridad de la información clave de la Empresa que sean coherentes con estas Medidas y brinden el mismo nivel de protección que estas.

5. Seguridad física

La empresa no opera en las oficinas físicas ni en los lugares donde se ubican los servidores de datos.

6. Seguridad lógica

  • Control de acceso a sistemas y a red.

    • La Empresa emplea mecanismos de control de acceso que están destinados a: (a) evitar el acceso no autorizado a los Datos; (b) limitar el acceso a los usuarios que tienen una necesidad de saber; (c) seguir el principio de mínimo privilegio, permitiendo el acceso solo a los Datos y los recursos que son necesarios; y (d) tener la capacidad de detectar, registrar e informar el acceso al sistema y la red o los intentos de violar la seguridad del sistema o la red.

    • Los usuarios de la Empresa tienen una cuenta individual que autentica el acceso de esa persona a los Datos. La Empresa no permite compartir cuentas. Los controles de acceso, incluidas las contraseñas, se configuran de acuerdo con los estándares de la industria y las mejores prácticas.

    • La Empresa mantiene un proceso de revisión/auditoría de los controles (incluidos los controles de acceso) con una periodicidad mínima anual para todos los sistemas de la Empresa que transmiten, procesan o almacenan Datos.

    • La Empresa configura el acceso remoto a todas las redes que almacenan o transmiten Datos para que se requiera una autenticación de factores múltiples para dicho acceso.

    • La Empresa revoca el acceso a los sistemas y aplicaciones que contienen o procesan Datos inmediatamente después del cese de la necesidad de acceder a los mismos.

  • Seguridad de telecomunicaciones y redes.

    • La Empresa despliega tecnología de firewall en la operación de los sitios de la Empresa. El tráfico entre el Cliente y la Empresa estará protegido y autenticado por tecnologías criptográficas estándar de la industria.

    • La Empresa implementa un sistema de detección de intrusiones para generar, monitorear y responder a las alertas que podrían indicar un posible riesgo para la red y/o el host.

    • La Empresa implementa la segmentación de red entre la red corporativa y las instalaciones de alojamiento para los Datos. Dentro de las instalaciones de alojamiento, aplicamos la separación entre entornos dedicados al desarrollo, la puesta en escena y la producción, con múltiples capas de acceso.

  • Protección contra códigos maliciosos.

    • Exceptuando los servidores específicos dedicados al análisis de Datos de Usuario Final comprometidos, las estaciones de trabajo y los servidores de la Empresa ejecutan la versión actual del software antivirus/antimalware estándar de la industria con las actualizaciones más recientes disponibles en cada estación de trabajo o servidor. Las definiciones de virus se actualizan dentro de las veinticuatro (24) horas posteriores al lanzamiento por parte del proveedor de software. La Empresa tiene un software antivirus/antimalware configurado para ejecutar el escaneo en tiempo real de las máquinas y un escaneo completo del sistema en intervalos programados periódicamente.

    • La Empresa analiza el contenido entrante y saliente en busca de código malicioso en todas las puertas de enlace a redes públicas, incluidos, entre otros, los servidores de correo electrónico y proxy.

  • Prevención de pérdida de datos.

     

    La Empresa emplea un sistema integral para evitar el compromiso involuntario o intencional de los Datos.

7. Desarrollo y mantenimiento de software

  • Código abierto.

     

    La empresa evalúa y rastrea las vulnerabilidades del software de código abierto (OSS) y otras bibliotecas de terceros que se incorporan a los Productos; La Empresa realiza análisis de código estático y revisión manual del código, según lo requiera el riesgo. Las verificaciones de seguridad, incluidas las pruebas de intrusión y las múltiples herramientas de análisis dinámico, las realizan empresas de terceros, equipos rojos e investigadores de amenazas.

  • Gestión del cambio.

     

    La Empresa emplea un programa documentado de gestión del cambio con respecto a los Productos como parte integral de su perfil de seguridad. Esto incluye entornos lógica o físicamente separados de la producción para todo el desarrollo y las pruebas.

  • Gestión de vulnerabilidades y evaluación de seguridad de aplicaciones.

    • La Empresa utiliza un tercero calificado para realizar las evaluaciones de seguridad de la aplicación. La Empresa puede realizar la revisión de evaluación de seguridad directamente, siguiendo las mejores prácticas estándar de la industria.

8. Almacenamiento, manipulación y eliminación

  • Segregación de datos.

     

    La Empresa separa y segrega física o lógicamente los Datos Personales y los Datos del Usuario Final de los datos de sus otros clientes.

  • Cifrado de datos de formularios electrónicos.

     

    La Empresa utiliza algoritmos de cifrado y fortalezas de clave estándar de la industria (es decir, AES 256 bits en reposo, TLS v1.2 en tránsito) para cifrar todos los Datos Personales y los Datos del Usuario Final en forma electrónica mientras están en tránsito a través de todas las redes cableadas públicas (p. ej., Internet) y todas las redes inalámbricas.

9. Continuidad de la actividad y recuperación en casos de desastre

  • La Empresa desarrolla, implementa y mantiene un programa de gestión de continuidad del negocio para abordar las necesidades del negocio y los Productos proporcionados al Cliente. Para ello, la Empresa completa un nivel mínimo de análisis de impacto comercial, gestión de crisis, continuidad comercial y planificación de recuperación ante desastres:

    • El Plan de Análisis de Impacto Empresarial de la Empresa incluye, entre otras cosas, una revisión sistemática de las funciones comerciales y sus procesos asociados que identifica las dependencias, evalúa el impacto potencial de las interrupciones; define los objetivos del tiempo de recuperación y mejora la comprensión del proceso, realizada anualmente.

    • El Plan de Gestión de Crisis de la Empresa incluye, entre otros, elementos como la gestión de eventos, la activación del plan y del equipo, la documentación del proceso de eventos y comunicación, que se ejerce al menos una vez al año.

    • El Plan de Continuidad Empresarial de la Empresa incluye, entre otros, elementos tales como soluciones de ubicación, soluciones de aplicaciones, soluciones de proveedores y soluciones de personal, ejercidas como mínimo anualmente.

    • El Plan de Recuperación ante Desastres de la Empresa incluye, entre otros, detalles de infraestructura, tecnología y sistema(s), actividades de recuperación e identifica a las personas/equipos requeridos para dicha recuperación, ejercida al menos una vez al año.

  • Contenido del plan.

     

    La documentación del plan de la Empresa bajo 9.1 aborda las acciones que la Empresa tomará en caso de una interrupción prolongada del servicio. La Empresa se asegura de que sus planes aborden las acciones y los recursos necesarios para proporcionar (i) la operación continua de la Empresa, y (ii) en caso de una interrupción, la recuperación de las funciones requeridas para permitir que la Empresa proporcione los Productos, incluidos los sistemas, el hardware, el software, los recursos, el personal y los datos necesarios para estas funciones.