DPA Medidas técnicas y organizativas de Business Driver

Anexo 4: medidas técnicas y organizativas de Business Driver

Digital Solution presta mucha atención a la seguridad y protección de dichos datos personales.

Para la siguiente descripción del status quo de las medidas de protección de datos elementales, no es posible cubrir todas las medidas de seguridad adoptadas por Digital Solution. En particular, en lo que respecta a la protección de datos y la seguridad de los datos, no es posible proporcionar descripciones detalladas de las medidas confidenciales, ya que la protección de las medidas de seguridad para evitar la divulgación no autorizada es al menos tan importante como la medida de seguridad en sí.

Se alienta al Cliente a hablar sobre cada tema relacionado con las medidas técnicas y organizativas con el gerente de cuentas del Cliente en Digital Solution o, si corresponde, con el Digital Solution DPO ( [email protected] ).

 

Protección de datos del diseño y protección de datos por defecto (Art. 25 Sección 2 del G DPR)

En Digital Solution, la protección de datos se tiene en cuenta lo antes posible mediante el uso de conjuntos de configuraciones compatibles con la protección de datos ("Protección de datos del diseño y protección de datos por defecto") para evitar el procesamiento ilegal o uso indebido de datos. Al adoptar conjuntos apropiados de configuraciones técnicas, tenemos la intención de garantizar la recopilación y el procesamiento de solo los Datos personales que son realmente necesarios para un propósito específico (Principio de minimización de datos).

Para obtener un procesamiento de datos personales de bajo riesgo, se adoptan las siguientes medidas de protección, entre otras:

 

Control de acceso a datos

Digital Solution aplica políticas detalladas que el personal con acceso a los sistemas de información está obligado a cumplir y que tienen como objetivo garantizar una conducta adecuada para garantizar el cumplimiento de los principios de confidencialidad, disponibilidad e integridad de los datos en el uso de los recursos de TI.

La solución digital define los perfiles de acceso de acuerdo con el privilegio mínimo ("privilegio mínimo") necesario para la ejecución de las tareas asignadas. Los perfiles de autorización se identifican y configuran antes del inicio del tratamiento, con el fin de limitar el acceso solo a los datos necesarios para la ejecución de la tarea que el individuo debe realizar. Estos perfiles están sujetos a comprobaciones periódicas destinadas a verificar la existencia de las condiciones para la conservación de los perfiles asignados.

Credenciales de autenticación: los sistemas están configurados con métodos adecuados para permitir el acceso solo a sujetos con credenciales de autenticación que permiten su identificación unívoca. Entre estos, el código asociado con una palabra clave, reservado y conocido solo por el mismo; dispositivo de autenticación en posesión y uso exclusivo del usuario, posiblemente asociado con un código de identificación o una palabra clave de un solo uso ("OTP").

Contraseña: con respecto a las características básicas o la obligación de modificar el primer acceso, longitud mínima, ausencia de elementos fácilmente referibles al tema, reglas de complejidad, caducidad, historial, evaluación de robustez, visualización y archivo, la palabra clave se gestiona de acuerdo con el mejores prácticas de la industria. Se proporcionan instrucciones puntuales a los sujetos a quienes se les atribuyen las credenciales en relación con los métodos que se adoptarán para garantizar su secreto.

Registro: los sistemas son configurables con métodos que permiten el seguimiento de los accesos y, cuando corresponda, de las actividades realizadas por los diferentes tipos de usuarios protegidos por medidas de seguridad adecuadas que garanticen su integridad.

 

Control de la transmisión

La transferencia de datos personales a un tercero (por ejemplo, clientes, subcontratistas, proveedor de servicios) se lleva a cabo solo en presencia de un contrato específico y solo para un propósito específico. Si los datos personales se transfieren a empresas cuya sede se encuentra fuera de la UE / EEE, Digital Solution establece la presencia de un nivel adecuado de protección de datos en la oficina u organización de destino de conformidad con los requisitos de protección de datos de la Unión Europea, p. utilizando contratos basados en las cláusulas contractuales del modelo de la UE.

Seguridad de la línea de comunicación: en lo que respecta a su competencia, Digital Solution ha adoptado protocolos de comunicación seguros en línea con lo que la tecnología pone a disposición (https, tsl, sftp, ftps).

 

Comprobando disponibilidad

El objetivo de la verificación de disponibilidad es garantizar la protección de los datos personales contra la destrucción y pérdida accidental.

Si los datos personales ya no son necesarios para los fines para los que fueron procesados, se eliminan de inmediato. Cabe señalar que con cada cancelación, los Datos personales, en primera instancia, solo se bloquean y luego se eliminan definitivamente en un momento posterior. Esta medida se toma para evitar cancelaciones accidentales o daños intencionales.

Por razones técnicas, las copias de datos personales pueden estar presentes en los archivos de copia de seguridad y pueden realizarse reflejando los servicios. Sin perjuicio de la obligación de retención de los datos de la Solución digital proporcionados por la ley (consulte el Acuerdo de procesamiento de datos), estas copias también se eliminan, si es necesario, con un retraso determinado técnicamente. La disponibilidad de los propios sistemas está garantizada de acuerdo con el nivel de seguridad necesario a través de las medidas de seguridad relativas (por ejemplo, duplicación de discos duros, sistemas RAID, etc.).

Copia de seguridad y restauración: se toman las medidas adecuadas para garantizar la restauración del acceso a los datos en caso de daños a las mismas o herramientas electrónicas, en ciertos momentos compatibles con los derechos de las partes interesadas. Cuando los acuerdos contractuales lo estipulen, se utiliza un plan de continuidad operacional integrado, cuando sea necesario, con el plan de recuperación ante desastres; garantizan la disponibilidad y el acceso a los sistemas incluso en caso de eventos negativos significativos que persisten en el tiempo.

Protección contra virus y software malicioso: los sistemas están protegidos contra el riesgo de intrusión y la acción de los programas mediante la activación periódica de instrumentos electrónicos adecuados. Las herramientas antivirus que se mantienen constantemente actualizadas están en uso.

 

Control de separación

Los datos personales se utilizan solo para fines internos (por ejemplo, como parte de la relación relacionada con el cliente). Una transferencia a un tercero, como un subcontratista, se realiza exclusivamente de conformidad con los acuerdos contractuales y la legislación de protección de datos.

Los empleados reciben instrucciones para recopilar, procesar y usar datos personales solo en el contexto y para los fines establecidos por las tareas que tienen que realizar (por ejemplo, la prestación del servicio). A nivel técnico, para este propósito se utilizan funciones multicliente, separación de funciones y separación de producción y sistemas de prueba.

 

Centro de datos: el acceso físico al Centro de datos está limitado solo a las partes autorizadas

Para obtener detalles sobre las medidas de seguridad adoptadas con referencia a los servicios del centro de datos proporcionados por los Procesadores de datos adicionales, según se identifica en el DPA, se hace referencia a las medidas de seguridad indicadas descritas por los mismos Gerentes adicionales y disponibles en los sitios institucionales relevantes en los siguientes direcciones (o aquellas que posteriormente serán puestas a disposición por los Gerentes Adicionales):

Para los servicios del centro de datos proporcionados por Amazon Web Services https://aws.amazon.com/it/compliance/data-center/controls/
Para los servicios del centro de datos proporcionados por Microsoft: https://www.microsoft.com/en-us/trustcenter
Para los servicios del Centro de datos proporcionados por Hetzner Gmbh: https://www.hetzner.com/rechtliches/datenschutz
Para los servicios del Centro de datos proporcionados por Aruba Spa: https://www.cloud.it/gdpr-protezione-dati-normativa-ue.aspx

 

endurecimiento

Se han implementado actividades específicas de fortalecimiento para prevenir la ocurrencia de incidentes de seguridad al minimizar las debilidades arquitectónicas de los sistemas operativos, aplicaciones y equipos de red considerando, en particular, la disminución de los riesgos asociados con las vulnerabilidades del sistema, la disminución de los riesgos. conectado al contexto de aplicación presente en los sistemas y al aumento en los niveles de protección de los servicios proporcionados por los propios sistemas.

 

Evaluación de vulnerabilidad y prueba de penetración

Digital Solution realiza periódicamente actividades de análisis de vulnerabilidades destinadas a detectar el estado de exposición a vulnerabilidades conocidas, tanto en relación con la infraestructura como con las áreas de aplicación, considerando los sistemas en operación o en desarrollo.

Si se considera apropiado en relación con los riesgos potenciales identificados, estas comprobaciones se integran periódicamente con técnicas específicas de prueba de penetración, a través de simulaciones de intrusión que utilizan diferentes escenarios de ataque, con el objetivo de verificar el nivel de seguridad de las aplicaciones / sistemas / redes a través de actividades que tienen como objetivo explotar las vulnerabilidades detectadas para eludir los mecanismos de seguridad físicos / lógicos y tener acceso a ellos.

Los resultados de las verificaciones son puntuales y se examinan en detalle para identificar e implementar los puntos de mejora necesarios para garantizar el alto nivel de seguridad requerido.

 

G it tiona de la respuesta a un acontecimiento imprevisto

La solución digital se ocupa de los eventos relacionados con la seguridad utilizando procedimientos y procesos operativos estándar basados en herramientas basadas en "ITIL Best Practice", para restaurar la operación sin problemas lo antes posible. Los incidentes de seguridad son monitoreados y analizados rápidamente por la organización de Soluciones Digitales para la gestión de la seguridad. Dependiendo de la naturaleza del evento, los especialistas y equipos de asistencia necesarios y competentes de Digital Solution participarán en el proceso. Por el momento, esta gestión de la respuesta a un evento inesperado se está activando.

 

certificaciones

En este momento, Digital Solution está evaluando la posibilidad de activar los procesos para obtener las siguientes certificaciones:

Información sobre el uso de cookies.

Este sitio o las herramientas de terceros utilizadas por este hacen uso de cookies necesarias para la operación y útiles para los fines descritos en la política de cookies . Si desea obtener más información o darse de baja de todas o algunas de las cookies, consulte la política de cookies. Al cerrar este banner, desplazarse por esta página, hacer clic en un enlace o continuar la navegación de cualquier otra manera, usted acepta el uso de cookies. OK

Ofrezca a su equipo un entorno de trabajo compartido para crear y organizar: nadie puede hacerlo mejor

Comience su prueba gratuita ahora
Términos y condiciones generales
Ok, leí