Amilon

Medidas de seguridad

POLÍTICA DE SEGURIDAD

  1. Amilon implementa una Política de seguridad de la información que es pertinente al propio ámbito de servicio, prestando especial atención al tratamiento de los datos personales.
  2. Amilon actualiza su Política de seguridad al menos una vez al año y la comunica a los empleados, colaboradores y terceros involucrados en el tratamiento de los datos.

FUNCIONES Y RESPONSABILIDADES

  1. Amilon define, documenta y comunica las funciones y las responsabilidades del personal involucrado en la gestión de procesos inherentes a la protección de datos.
  2. Las funciones y las áreas de responsabilidad atribuidas a los principales cargos que se ocupan de la gestión de la protección de datos (como, por ejemplo, el director de seguridad, el auditor de seguridad o el responsable de la protección de datos) se definen con respecto al principio de Separación de funciones, es decir, son funciones y áreas distintas e independientes dentro de lo posible.

GESTIÓN DE LOS ACCESOS

  1. Amilon establece, documenta e implementa una política de acceso con reglas precisas en cuanto al control de los accesos, y con derechos y restricciones específicos según la función que desempeñe el usuario con respecto al tratamiento de los datos personales.
  2. Amilon, según criterios de elegibilidad verificados, identifica las funciones que tienen concedidos privilegios de administrador y limita esta asignación a un número mínimo de usuarios.
  3. Amilon implementa un sistema de control de los accesos a todos los usuarios de los sistemas de información que prevé la creación, aprobación, supervisión y cancelación de las cuentas.
  4. No se permite el uso de cuentas genéricas o comunes, pero las cuentas son individuales y unívocas.
  5. El mecanismo de autenticación implementado prevé el acceso a los sistemas a través del uso de un ID de usuario y de una contraseña o a través de autenticación biométrica (huellas digitales). La contraseña es compleja (longitud, números, letras y caracteres especiales) y tiene una fecha de validez máxima de 90 días. Después de 90 días, el usuario tiene la obligación de cambiarla.
  6. La política de contraseñas está formalmente documentada y se transmite al personal.
  7. Las contraseñas de los usuarios se archivan en forma de "hash", es decir, están cifradas con un algoritmo que no permite la reversibilidad de la codificación.

GESTIÓN DE LOS ACTIVOS

  1. Amilon elabora y mantiene actualizado un inventario de los activos de TI (hardware, software y red empleados en el tratamiento de los datos personales) que contiene la siguiente información: activo, tipo, ubicación, responsable del activo y asignatario del activo.
  2. Amilon identifica el personal que puede tener acceso o no a cada activo de información, especialmente si está involucrado en el tratamiento de datos especiales.

GESTIÓN DEL CAMBIO

  1. Amilon registra y supervisa todos los cambios realizados en sus propios activos de TI a través de personal autorizado.
  2. Las actividades de desarrollo se realizan en un entorno protegido y separado de los sistemas de TI empleados para el tratamiento de los datos personales.
  3. El entorno de pruebas, separado del de desarrollo y del de producción, no contiene datos reales y, en caso de haberlos, dichos datos están protegidos con medidas de seguridad similares a las presentes en el entorno de producción.
  4. Amilon establece y documenta una Política para la gestión del cambio en la que se definen las funciones y las responsabilidades de los cargos involucrados y el procedimiento de control.

GESTIÓN DE INCIDENTES

  1. Amilon implementa un plan de Gestión de incidentes.
  2. Amilon implementa un procedimiento de Gestión de filtraciones de datos, así como de Notificación al Supervisor de protección de datos.
  3. Amilon dispone de un registro de los incidentes de alto impacto que se han producido (incluidas las filtraciones de datos) donde se indican las acciones de mitigación realizadas.

CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN ANTE DESASTRES

  1. Amilon establece, documenta e implementa un plan de Continuidad del negocio en el que se define el nivel de calidad garantizado del servicio y en el que se identifican las funciones y las responsabilidades involucradas en el proceso.
  2. Amilon establece, documenta e implementa un plan de Recuperación ante desastres.

FORMACIÓN DEL PERSONAL

  1. Los principios base y las normas de protección de datos se transmiten a todo el personal.
  2. Hay previstos programas de formación y de actualización específicos sobre el RGPD según la función que desempeñe el personal con respecto al tratamiento de los datos personales.

REGISTRO Y SUPERVISIÓN

  1. El registro de los accesos a todos los sistemas de información se registra y conserva de forma protegida.
  2. Se registran las acciones realizadas por los Administradores del sistema, incluidas las actividades de agregar, modificar o eliminar privilegios de usuarios.
  3. El acceso a los registros y la eventual modificación de estos se registran a su vez en un registro específico.
  4. Hay implementado un proceso de supervisión periódica de los registros.

SEGURIDAD DE BASES DE DATOS Y SERVIDORES

  1. Las bases de datos y los servidores de aplicaciones están configurados de modo que se respete el principio de minimización en la recogida de datos (en los sistemas no hay presentes más datos de los estrictamente necesarios).
  2. Hay previstas cuentas separadas para operar en el nivel de Base de datos y de Servidor de aplicación, concediéndose privilegios mínimos en el nivel de sistema operativo.

SEGURIDAD DE LAS ESTACIONES DE TRABAJO

  1. Los usuarios asignatarios de una estación de trabajo no pueden desactivar ni eludir la configuración de seguridad.
  2. Hay configurados programas de software antivirus y de detección de firmas en todos los PC.
  3. Los PC están configurados de modo que la sesión se bloquee automáticamente después de un determinado tiempo de inactividad (5 minutos) del usuario.
  4. El usuario se bloquea durante 10 minutos en caso de introducir mal la contraseña de acceso 5 veces.
  5. Las actualizaciones relevantes del desarrollador del sistema operativo se instalan periódicamente.
  6. Se desincentiva, a través del establecimiento de normas de conducta, la posibilidad de transferir datos personales de la estación de trabajo a un dispositivo de grabación externo (por ejemplo, memoria USB, discos duros externos o CD/DVD).

SEGURIDAD DE REDES Y COMUNICACIONES

  1. Las transmisiones de información a través de Internet están protegidas con el uso de protocolos de comunicación cifrados; en concreto, Amilon emplea los protocolos https/ftps.
  2. El acceso a los sistemas de TI a través de redes inalámbricas solo se permite a los usuarios y sistemas autorizados por el departamento Sistemas.
  3. Los accesos remotos, en caso de ser necesarios, se efectúan solo desde dispositivos previamente autorizados a través de Red privada virtual (VPN).
  4. El tráfico entrante a y saliente de los sistemas de TI se supervisa y se tiene bajo control mediante firewalls y Sistemas de detección de intrusiones.

COPIAS DE SEGURIDAD Y RESTAURACIONES

  1. Las copias de seguridad se conservan de forma segura, según reglas y procedimientos establecidos de acuerdo al tipo de datos y servicio que utiliza los datos.
  2. Se supervisa la ejecución de Copias de seguridad y se realizan pruebas de restauración periódicas para evaluar la congruencia y completa integridad.
  3. Diariamente, se realizan copias de seguridad completas e incrementales de los datos que reflejan los movimientos de las tarjetas de regalo.

DISPOSITIVOS MÓVILES

  1. El uso de dispositivos móviles y portátiles está reglamentado a través de la formulación y publicación de reglas de conducta.

SEGURIDAD DEL CICLO DE VIDA DE LAS APLICACIONES

  1. Durante las primeras fases de desarrollo de software se definen requisitos específicos de seguridad.
  2. El ciclo de vida de las aplicaciones se rige por el uso y la consulta de prácticas recomendadas y normas de codificación segura (https://safecode.org/).
  3. Periódicamente, se realizan actividades de Evaluación de vulnerabilidades y Pruebas de intrusión.
  4. Las correcciones (parches) se prueban y autorizan en un entorno de prueba antes de instalarse en el entorno de producción.

ELIMINACIÓN DE DATOS Y DISPOSITIVOS

  1. Todos los dispositivos se sobrescriben antes de retirarse y eliminarse.
  2. Amilon desincentiva el uso de medios impresos para los documentos que contienen datos personales y/o clasificados; en caso de que estos documentos sean necesarios, se conservan de forma segura en armarios y/o cajones cerrados con llave o se destruyen de forma segura.
  3. Los dispositivos informáticos en los que los datos no pueden eliminarse de manera segura se destruyen físicamente de modo tal que no se puedan recuperar los datos.

SEGURIDAD FÍSICA

  1. Los sistemas de información están protegidos mediante barreras físicas para que no sea posible un acceso no autorizado a los mismos.
  2. Los accesos a locales donde hay sistemas de información se registran y supervisan.
  3. El personal de mantenimiento y los visitantes se registran y van acompañados por una persona interna autorizada durante todo el tiempo de permanencia en dichas ubicaciones.
  4. Amilon posee un plan de seguridad física y, a través de un programa informativo adecuado, invita a sus empleados y colaboradores a tener una conducta adecuada.
  5. El acceso del personal a las oficinas se realiza mediante tarjetas magnéticas.