La siguiente lista representa las medidas técnicas y organizacionales de Website Buildera partir del 29 de julio de 2024. Website Builder se reserva el derecho de revisar estas medidas técnicas y organizacionales en cualquier momento, sin previo aviso, siempre y cuando dichas revisiones no reduzcan o debiliten materialmente la protección proporcionada para los datos personales que la Compañía procesa en la capacidad de sus diversos servicios. Website Builder adoptará las siguientes medidas de seguridad técnicas y organizacionales para proteger los datos personales:
-
Gobernanza de la seguridad de la información
-
La compañía cuenta con la certificación ISO 27001:2022.
-
La Compañía designó un gerente de Seguridad de la Información que reporta directamente a un ejecutivo superior de la Compañía.
-
Un conjunto de políticas y estándares de seguridad de la información se documentan, aprueban y mantienen periódicamente.
-
La compañía cuenta con seguro cibernético.
-
Un plan de respuesta a incidentes se documenta y se prueba rutinariamente para garantizar una respuesta efectiva y una recuperación más rápida en caso de un incidente de seguridad.
-
-
Control de RRHH
-
Todos los empleados de la compañía reciben sesiones periódicas de capacitación sobre concientización sobre seguridad.
-
Las verificaciones de antecedentes de nuevos empleados se emplean cuando lo permite la legislación local.
-
Los empleados de la compañía están comprometidos con el cumplimiento de los principios de protección de la privacidad y seguridad de la información.
-
Los empleados con acceso a datos personales están sujetos a confidencialidad basada en acuerdos de confidencialidad (NDA) o cláusulas equivalentes.
-
Al finalizar la relación laboral, se revocan los derechos de acceso del empleado y se le hace un recordatorio sobre sus obligaciones de seguridad.
-
-
Capacitación y concientización sobre seguridad de la información
-
La compañía establece objetivos relacionados con la seguridad como objetivos de la compañía y actúa para crear conciencia sobre las cuestiones de seguridad y privacidad de la información.
-
Periódicamente se realizan sesiones de formación y concientización sobre seguridad y privacidad para todos los empleados.
-
-
Seguridad de la red y la nube
-
El entorno de nube de la compañía está alojado y respaldado por AWS. Para obtener más información sobre la seguridad física, consulte Controles de seguridad de AWS.
-
Los datos en reposo y en tránsito se cifran con algoritmos de cifrado de nivel industrial.
-
Uso de firewalls (tanto de red como de aplicación) y sistemas de autenticación.
-
El acceso administrativo a la infraestructura de la nube está protegido con contraseñas seguras + 2FA habilitado y acceso remoto a través de VPN y túneles SSH.
-
Segregación completa de la red de producción y los activos en la nube (VPC) de los entornos de prueba y desarrollo.
-
El uso de sistemas de detección de intrusiones, tanto basados en red (NIDS) como basados en host (HIDS).
-
Toda la comunicación saliente TCP está cifrada mediante TLS.
-
-
Confidencialidad de los datos personales tratados
-
Los datos personales stores y procesados por la compañía están adecuadamente protegidos de acuerdo con las mejores prácticas comerciales acordes con compañías similares en industrias similares.
-
El acceso a los datos personales del cliente está limitado a la necesidad de conocerlos.
-
Se aplican contraseñas seguras, stores contraseñas están completamente cifradas y cifradas.
-
Anonimización/Seudonimización de datos personales y/o sensibles cuando sea aplicable de acuerdo con las necesidades técnicas o comerciales para brindar el servicio y/o cumplir con la ley.
-
La compañía no proporcionará información PII y/o datos comerciales de los usuarios a menos que se establezca una verificación adecuada de la identidad del propietario de la cuenta.
-
Los Datos del Cliente solo se stores mientras la Compañía y el Cliente tengan un acuerdo activo y siempre que sirvan para los fines para los que se recopilaron los datos.
-
Proceso seguro de eliminación de datos personales al final del periodo de retención y/o bajo demanda.
-
Los subprocesadores se someten a una revisión de privacidad y seguridad de la información del proveedor en función de la sensibilidad de los datos y/o los datos personales a los que acceden y deben cumplir con los requisitos de seguridad del proveedor.
-
-
Seguridad, integridad y disponibilidad de los sistemas de procesamiento
-
Las computadoras portátiles de la compañía están equipados con software anti-malware y antivirus.
-
Las computadoras portátiles de la compañía están equipadas con una solución de gestión que aplica la política de seguridad de las computadoras portátiles de la compañía.
-
Análisis de vulnerabilidades periódicos de paquetes de código abierto (SCA), código (SAST), aplicaciones sitio web (DAST) e infraestructura en la nube.
-
Proceso de actualización de software (es decir, gestión de parches) implementado para corregir las vulnerabilidades identificadas de manera oportuna de acuerdo con la evaluación de riesgos.
-
El uso de sistemas de registro, monitoreo y alerta.
-
Sistemas avanzados para mitigar ataques de denegación de servicio (DoS/DDoS).
-
-
Restaurar los sistemas y la disponibilidad de los datos en caso de incidente físico o técnico
-
El uso de zonas de computación en la nube de alta disponibilidad en múltiples ubicaciones geográficas.
-
Los procedimientos de recuperación ante desastres (DR) están bien documentados y se revisan y actualizan periódicamente.
-
Las copias de seguridad periódicas se stores de forma segura en un entorno de nube independiente y se pueden restaurar según sea necesario.
-
-
Evaluación de la eficacia de las medidas técnicas y organizacionales
-
Pruebas de penetración periódicas y bajo demanda.
-