Última actualización: 22 de febrero de 2023
Las medidas técnicas y organizativas deben describirse en términos específicos (y no genéricos). Véase también el comentario general en la primera página del Apéndice, en particular sobre la necesidad de indicar claramente qué medidas se aplican a cada transferencia/conjunto de transferencias.
Descripción de las medidas técnicas y organizativas implementadas por el/los importador(es) de datos (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y el propósito del tratamiento, y los riesgos para los derechos y libertades de las personas físicas.
A continuación se presenta una descripción de las Medidas Técnicas y Organizativas que Keyfactor, Inc. empleará en su calidad de Encargado del Tratamiento de datos personales de los interesados de la UE:
El término «Acceso» se refiere al acceso físico de personas a edificios e instalaciones donde se operan y utilizan sistemas de TI. Esto puede incluir centros de datos donde se operan materiales criptográficos, servidores web, servidores de aplicaciones, bases de datos, mainframes y sistemas de almacenamiento, así como salas de trabajo donde los empleados utilizan ordenadores de trabajo. Las instalaciones donde se ubican y colocan los componentes de la infraestructura de red están dentro del alcance.
Requisitos Generales
Especificaciones de Áreas Seguras
El requisito se cumple con las siguientes medidas:
(a) Las áreas se clasifican en diferentes niveles de seguridad según la sensibilidad de los datos.
(b) Se han especificado las áreas a proteger.
(c) Se han identificado las áreas con requisitos de protección particularmente altos.
Implementación de la Protección de Acceso
El requisito se cumple con las siguientes medidas:
(a) Todos los posibles puntos de entrada han sido asegurados contra accesos no autorizados.
(b) Existe una credencial de autenticación de acceso que es vinculante para todas las personas (tarjetas de proximidad asignadas, combinaciones de cerraduras/códigos PIN, llaves físicas de cerraduras).
(c) Se han implementado sistemas de control de acceso.
Especificación de Personas con Autorización de Acceso
El requisito se cumple con las siguientes medidas:
(a) Existe un control de acceso basado en roles según las funciones y responsabilidades laborales.
(b) Los roles se asignan a personas específicas por escrito y electrónicamente.
(c) Se ha designado a una persona u organización responsable del proceso de control de acceso basado en roles.
Gestión y Documentación de los Derechos de Acceso Personal
El requisito se cumple con las siguientes medidas:
(a) Normas organizativas sobre los derechos de acceso a las áreas de negocio.
(b) Documentación de las asignaciones de tarjetas de proximidad, combinaciones de cerraduras/códigos PIN y llaves de cerraduras físicas.
(c) Procedimientos definidos para la pérdida, compromiso y reemplazo de credenciales de acceso.
(d) Las Políticas de Seguridad de la Información han sido publicadas, comunicadas y puestas a disposición de todo el personal.
Acompañamiento de Visitantes y Personal Externo
El requisito se cumple con las siguientes medidas:
(a) Existe una política de control de acceso establecida que aborda los requisitos de acceso para visitantes y otros terceros (no empleados).
(b) Monitorización de visitantes (acompañamiento, tarjetas de proximidad para visitantes, registro).
(c) Perfiles de acceso para el personal de mantenimiento, limpieza y servicios de emergencia (acompañamiento, registro temporal, verificación de identidad).
Registro de acceso
El requisito se cumple mediante sistemas electrónicos de control de acceso. Para los visitantes, se utilizan hojas de registro en formato físico.
A diferencia del control de acceso (instalaciones/equipos), el objetivo del control de acceso (uso de sistemas) es evitar que los sistemas de TI que guardan, procesan o utilizan datos personales sean accedidos o utilizados por personas no autorizadas.
2.1 Requisitos Generales
2.1.1 Protección de Acceso (Autenticación)
El requisito se cumple con las siguientes medidas:
(a) Protección de acceso de todos los sistemas de procesamiento de datos mediante autenticación de usuario.
(b) Se aplican políticas de complejidad de contraseñas. Para activos más sensibles, se requiere autenticación multifactor.
2.1.2 Autenticación Fuerte con Nivel de Protección Máximo
El requisito se cumple con las siguientes medidas:
(a) Uso de mecanismos que requieren posesión y conocimiento para la autenticación (por ejemplo, autenticación con tarjeta inteligente de varias partes y frase de contraseña).
(b) Autenticación de red que requiere cifrado (por ejemplo, Kerberos).
2.1.3 Autenticación Simple (Nombre de Usuario/Contraseña) con Nivel de Protección Alto
El requisito se cumple con las siguientes medidas:
(a) Existen especificaciones para la longitud de la contraseña para los clientes y usuarios finales de Keyfactor (mínimo 8 caracteres).
(b) Existen especificaciones para la complejidad de las contraseñas (mayúsculas, minúsculas, numéricos y caracteres especiales).
(c) Existen especificaciones para la autenticación multifactor al acceder a recursos internos.
2.1.4 Transmisión Segura de Secretos de Autenticación (Credenciales) en la Red
El requisito se cumple con la siguiente medida:
(a) La información de autenticación solo se transmite por la red una vez cifrada.
2.1.5 Bloqueo por Intentos Fallidos/Inactividad y Proceso para Restablecer Cuentas Bloqueadas
El requisito se cumple con las siguientes medidas:
(a) El acceso de usuario de Keyfactor se bloquea tras múltiples intentos incorrectos. El acceso de usuarios finales y clientes se suspende temporalmente tras múltiples intentos incorrectos.
(b) Para el personal de Keyfactor, existe un procedimiento seguro para restablecer (p. ej., restablecimiento de contraseñas por administradores autorizados).
2.1.6 Especificación de Personas Autorizadas
El requisito se cumple con las siguientes medidas:
(a) Existe un concepto de roles (perfiles de usuario predefinidos).
(b) Los derechos de acceso se asignan individualmente (en relación con personas específicas) cuando sea necesario y esté documentado.
(c) La población de personas autorizadas se ha limitado al mínimo operacionalmente necesario.
(d) No existen cuentas compartidas o reutilizables (p. ej., becario1, consultor1, etc.).
2.1.7 Gestión y Documentación de Medios de Autenticación Personales y Derechos de Acceso
El requisito se cumple con las siguientes medidas:
(a) Se ha establecido, documentado y aplicado un proceso para solicitar, aprobar, asignar y recuperar medios de autenticación y derechos de acceso.
(b) Se ha designado una organización responsable para la concesión de derechos de acceso.
2.1.8 Registro de accesos
El requisito se cumple con las siguientes medidas:
(a) Todos los intentos de acceso a la red, tanto exitosos como fallidos, se registran (ID utilizada, equipo, dirección IP) y se almacenan con fines de auditoría durante al menos 180 días.
(b) Se deben realizar evaluaciones periódicas de muestras en los registros de autenticación para el reconocimiento de abusos.
2.2 Medidas en el Puesto de Trabajo del Usuario
2.2.1 Bloqueo Automático de Acceso
El requisito se cumple con la siguiente medida:
(a) En caso de más de 15 minutos de inactividad de la estación de trabajo o terminal, se activa automáticamente un salvapantallas protegido por contraseña mediante la política de seguridad del sistema operativo.
2.2.2 Bloqueo Manual de Acceso
El requisito se cumple con las siguientes medidas:
(a) Existe una política para que las estaciones de trabajo estén protegidas contra el uso no autorizado al abandonar temporalmente el puesto de trabajo (p. ej., mediante la activación manual del salvapantallas protegido por contraseña).
(b) El personal de Keyfactor ha sido capacitado sobre la necesidad de implementar la medida a).
Los requisitos para el control de acceso sobre clasificaciones de datos específicas garantizarán que solo las personas autorizadas tengan acceso a los datos para los cuales tengan un propósito comercial legítimo y que los datos no puedan ser manipulados o leídos por personas no autorizadas.
3.1 Requisitos Generales
3.1.1 Generación de un concepto de autorización
El requisito se cumple con las siguientes medidas:
(a) Existen reglas y procedimientos para crear, modificar y eliminar perfiles de autorización o roles de usuario.
(b) Las áreas de responsabilidades administrativas están establecidas.
3.1.2 Implementación de Limitaciones de Acceso
El requisito se cumple con las siguientes medidas:
(a) Todo el personal de Keyfactor con derechos de acceso solo puede acceder a los datos que específicamente requiere de acuerdo con sus responsabilidades laborales y con perfiles de autorización asignados adecuadamente.
(b) Cuando los inventarios de datos de varios controladores se guardan en almacenes de datos o se procesan con un sistema de procesamiento de datos, se implementan limitaciones de acceso lógico que están alineadas únicamente con el procesamiento de datos para el controlador respectivo (capacidad de múltiples clientes).
3.1.3 Concesión de Autorizaciones Mínimas
El requisito se cumple con la siguiente medida:
(a) El alcance de las autorizaciones debe limitarse a los requisitos mínimos para la realización de las tareas o funciones respectivas.
3.1.4 Gestión y Documentación de Derechos de Acceso Personal
El requisito se cumple con las siguientes medidas:
(a) Se ha implementado un proceso para solicitar, aprobar, asignar y revocar derechos de acceso, así como para su revisión.
(b) Las autorizaciones están vinculadas a cuentas únicas y personalizadas.
Se implementan los requisitos para garantizar que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión electrónica o el almacenamiento en soportes de datos, así como los medios de auditoría asociados.
4.1 Transporte a Través de Redes
4.1.1 Transmisión Segura de Datos Entre Servidores y Clientes
El requisito se cumple con la siguiente medida:
(a) Si se configuran redes inalámbricas dentro de la infraestructura de red de Keyfactor, se debe emplear el protocolo WPA2 o uno más robusto con modo de cifrado AES. Las redes inalámbricas para invitados están separadas de los sistemas de red corporativos de Keyfactor mediante controles de acceso a la red (p. ej., LAN virtuales).
4.2 Acceso Lógico a Sistemas
4.2.1 Minimización de Riesgos Mediante Separación de Red
El requisito se cumple con las siguientes medidas:
(a) Se realiza la segmentación de la red, orientada a que la transferencia de datos se realice a través de un mínimo de elementos de red.
(b) Los sistemas relevantes se segregan mediante controles de acceso a la red según las clasificaciones de datos.
4.2.2 Pasarelas de Seguridad en los Puntos de Transferencia de Red
El requisito se cumple con las siguientes medidas:
(a) Existen cortafuegos de red/Hardware.
(b) Existen firewalls personales/de escritorio.
(c) Los firewalls están siempre activos.
(d) Los firewalls no pueden ser desactivados por los usuarios finales.
4.2.3 Protección de sistemas
El requisito se cumple con la siguiente medida:
(a) Todos los parches de seguridad se implementan en un plazo de 30 días desde su lanzamiento.
(b) Los parches de seguridad críticos se prueban e implementan con carácter de emergencia, según la gravedad.
4.3 Envío seguro de datos
4.3.1 Disposiciones de envío
Si se envían datos, el requisito se cumple con las siguientes medidas:
(a) Existen disposiciones de embalaje y envío para el transporte de datos personales mediante soportes de datos.
(b) Para los datos personales, el cifrado de los datos personales antes de la transmisión es obligatorio.
(c) La empresa de transporte debe autorizar antes del envío.
4.4 Eliminación, desecho y destrucción seguros
4.4.1 Proceso de recopilación y desecho
El requisito se cumple con la siguiente medida:
(a) Existen normas para la destrucción de documentos y soportes de datos de forma que se garantice la privacidad de los datos.
4.4.2 Procedimiento de eliminación/destrucción para la privacidad de los datos
El requisito se cumple con las siguientes medidas:
(a) Los dispositivos de punto final se borran de todos los datos antes de ser reutilizados por otros usuarios para hacer imposible la recuperación o solo posible con un esfuerzo desproporcionado.
(b) Los componentes de Hardware o los documentos se borran de datos personales para hacer imposible la recuperación o solo posible con un esfuerzo desproporcionado.
Requisitos para garantizar que sea posible verificar y establecer si y por quién se han introducido, modificado o eliminado datos personales en los sistemas de procesamiento de datos (control de entrada).
5.1 Requisitos generales
5.1.1 Documentación de los derechos de entrada
El requisito se cumple con la siguiente medida:
(a) Existe documentación sobre qué personas están autorizadas, debido a sus responsabilidades laborales, para realizar entradas en el sistema de procesamiento de datos.
Requisitos para garantizar que, en el caso de procesamiento de datos personales por encargo, los datos se procesen estrictamente de acuerdo con las instrucciones del responsable del tratamiento.
El requisito se cumple con la siguiente medida:
(a) El control de tareas se implementa en el acuerdo de procesamiento de datos, así como mediante el control organizacional en la sección 9 del anexo 2.
Requisitos para asegurar que los datos personales estén protegidos contra la destrucción o pérdida accidental (control de disponibilidad).
7.1 Concepto de Copia de Seguridad
El requisito se cumple con las siguientes medidas:
(a) Existe un programa de copia de seguridad de sistemas implementado.
(b) Se realizan copias de seguridad regulares de acuerdo con los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO).
(c) Se designa una organización responsable de las operaciones de copia de seguridad y un representante.
7.2 Recuperación ante Desastres
7.2.1 Plan de Emergencia
El requisito se cumple con la siguiente medida:
(a) Existe un plan de emergencia en el que se enumeran los pasos a seguir y se especifica a qué personas se debe informar del incidente. El Responsable del Tratamiento ha indicado los contactos relevantes en el Acuerdo de Procesamiento de Datos.
7.2.2 Almacenamiento de la Copia de Seguridad
El requisito se cumple con las siguientes medidas:
(a) Las copias de seguridad de datos, tanto electrónicas como en formato físico, se almacenan en instalaciones de almacenamiento seguras que cumplen con los estándares de la industria.
Requisitos para asegurar que los datos recopilados para diferentes finalidades puedan procesarse por separado.
8.1 Requisitos Generales
8.1.1 Procesamiento Separado
El requisito se cumple con la siguiente medida:
(a) Existen normas y medidas técnicas y organizativas para asegurar el procesamiento separado (almacenamiento, modificación, eliminación, transferencia, etc.) y/o el almacenamiento de datos y/o soportes de datos con diferentes finalidades contractuales.
9.1 Formación/Obligación
El requisito se cumple con las siguientes medidas:
(a) Principios de privacidad de datos, incluyendo las medidas técnicas y organizativas.
(b) Obligación de confidencialidad respecto a los secretos operativos y comerciales, incluyendo los procesos del Responsable del Tratamiento.
(c) Manejo adecuado y cuidadoso de datos, archivos, soportes de datos y otros documentos.
(d) Cuando sea necesario, obligaciones de confidencialidad adicionales especiales.
(e) La formación ha sido documentada y se realiza un seguimiento de su finalización.
(f) La formación se repite regularmente, anualmente como mínimo. Los intervalos serán más cortos si lo exigen las leyes aplicables en territorios específicos.
9.2 Formación/Obligación de Personas Externas
El requisito se cumple con las siguientes medidas:
(a) Existen normas sobre el acceso a las instalaciones de procesamiento de datos para personas externas (invitados, proveedores, etc.).
(b) Estas normas establecen, como mínimo, que solo se debe conceder acceso a sistemas de procesamiento de datos a personas externas cuando se hayan comprometido al secreto de datos y, si procede, al secreto de las telecomunicaciones u otras obligaciones de confidencialidad, y hayan recibido formación, antes de que puedan poner en funcionamiento y utilizar dichos sistemas.
9.3 Regla del Representante
El requisito se cumple con las siguientes medidas:
(a) Se ha designado un representante para todas las funciones operativamente necesarias.
(b) El representante solo debe recibir los derechos de acceso y admisión requeridos en caso de que actúe como tal.
10.1 Gestión de Actividades de Mantenimiento
El requisito se cumple con la siguiente medida:
(a) Para la asistencia remota en estaciones de trabajo cliente, la herramienta de administración remota debe configurarse para obtener el consentimiento del usuario antes de cualquier intervención en su estación de trabajo. El usuario debe poder ver que la asistencia remota está en curso.
10.2 Gestión del Subprocesamiento
El requisito se cumple con las siguientes medidas:
(a) Redactar una cláusula específica para incluir en los acuerdos con los encargados del tratamiento de datos/subcontratistas.
(b) Establecer condiciones para la destrucción de datos al vencimiento y terminación del acuerdo.
10.3 Desarrollo de Software
El requisito se cumple con la siguiente medida:
(a) Realizar el desarrollo de Software en un entorno informático separado del de producción (por ejemplo, en segmentos de red definidos adecuadamente).
10.4 Cifrado
El requisito se cumple con las siguientes medidas:
(a) En cuanto al cifrado simétrico:
(b) En cuanto al cifrado asimétrico:
Para las transferencias a (sub)encargados del tratamiento, describir también las medidas técnicas y organizativas específicas que debe adoptar el (sub)encargado del tratamiento para poder prestar asistencia al responsable del tratamiento y, para las transferencias de un encargado del tratamiento a un subencargado del tratamiento, al exportador de datos.
Microsoft Corporation – Medidas Técnicas y Organizativas – Microsoft mantiene copias de su Protección de Datos de Servicios Profesionales en el siguiente enlace: https://www.microsoft.com/licensing/docs/view/Professional-Services-Data-Protection-Addendum-DPA. El documento incluye una visión general de las medidas técnicas y organizativas de la empresa.
Salesforce.com, Inc. – Medidas Técnicas y Organizativas – Salesforce mantiene un Anexo de Procesamiento de Datos en línea aquí que incluye una breve descripción de sus medidas técnicas y organizativas: https://www.salesforce.com/content/dam/web/en_us/www/documents/legal/Agreements/data-processing-addendum.pdf. Salesforce declara: «El importador de datos mantendrá salvaguardias administrativas, físicas y técnicas para la protección de la seguridad, confidencialidad e integridad de los Datos Personales cargados en los Servicios SCC, tal como se describe en la Documentación de Seguridad, Privacidad y Arquitectura aplicable a los Servicios SCC específicos adquiridos por el exportador de datos, y accesible a través de http://help.salesforce.com o de cualquier otra forma razonablemente disponible por el importador de datos. El importador de datos no disminuirá materialmente la seguridad general de los Servicios SCC durante un período de suscripción».
Rapid7 – Rapid7 proporciona una copia de su Anexo de Procesamiento de Datos, que incluye una descripción general de las medidas técnicas y organizativas que la empresa implementa, aquí: https://www.rapid7.com/legal/dpa/.
Mailgun / Sinch Email – Mailgun proporciona una copia de su Anexo de Procesamiento de Datos, que incluye una descripción general de las medidas técnicas y organizativas que complementa, aquí: https://www.mailgun.com/legal/dpa/.
