Anexo II de las cláusulas contractuales tipo - Medidas técnicas y organizativas

Última actualización: 22 de febrero de 2023

• MÓDULO UNO: Transferencia de controlador a controlador
• MÓDULO DOS: Transferencia del controlador al procesador
• MÓDULO TRES: Transferencia de procesador a procesador

Las medidas técnicas y organizativas deben describirse en términos específicos (y no genéricos). Véase también el comentario general de la primera página del apéndice, en particular sobre la necesidad de indicar claramente qué medidas se aplican a cada transferencia/conjunto de transferencias.

Descripción de las medidas técnicas y organizativas aplicadas por el importador o importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

A continuación figura una descripción de las medidas técnicas y organizativas que Keyfactor, Inc. empleará en su calidad de encargado del tratamiento de los datos personales de los interesados de la UE:

Por "acceso" se entiende el acceso físico de personas a edificios y locales en los que funcionan y se utilizan sistemas informáticos. Puede tratarse de centros de datos en los que funcionan materiales criptográficos, servidores web, servidores de aplicaciones, bases de datos, mainframes y sistemas de almacenamiento, así como salas de trabajo en las que los empleados utilizan los ordenadores del lugar de trabajo. También entran en el ámbito de aplicación los locales en los que se ubican y colocan los componentes de la infraestructura de red.

Requisitos generales 

Especificaciones de las zonas seguras

Este requisito se cumple con las siguientes medidas:

(a) Las zonas se clasifican en distintos niveles de seguridad en función de la sensibilidad de los datos.

(b) Se han especificado las zonas que deben protegerse.

(c) Se han identificado zonas con requisitos de protección especialmente elevados.

Aplicación de la protección de acceso

Este requisito se cumple con las siguientes medidas:

(a) Se han protegido todos los posibles puntos de entrada contra el acceso no autorizado.

(b) Existe una credencial de autenticación de acceso vinculante para todas las personas (tarjetas de proximidad asignadas, combinaciones de cerraduras/códigos PIN, llaves físicas de cerraduras).

(c) Se han implantado sistemas de control de acceso.

Especificación de las personas con autorización de acceso

Este requisito se cumple con las siguientes medidas:

(a) Existe un control de acceso basado en roles según las funciones y responsabilidades del puesto.

(b) Las funciones se asignan a personas concretas por escrito y electrónicamente.

(c) Se ha designado a una persona u organización responsable del proceso de control de acceso basado en funciones.

Gestión y documentación de los derechos de acceso personales

Este requisito se cumple con las siguientes medidas:

(a) Normas organizativas sobre derechos de acceso a las áreas de negocio.

(b) Documentación de las asignaciones de tarjetas de proximidad, combinaciones de cerraduras/códigos PIN y llaves de cerraduras físicas.

(c) Procedimientos definidos para la pérdida, el compromiso y la sustitución de credenciales de acceso.

(d) Las políticas de seguridad de la información se han publicado, comunicado y puesto a disposición de todo el personal.

Acompañamiento de visitantes y personal externo

Este requisito se cumple con las siguientes medidas:

(a) Existe una política de control de acceso que aborda los requisitos de acceso para visitantes y otras terceras partes (no empleados).

(b) Control de los visitantes (acompañamiento, tarjetas de proximidad de los visitantes, registro).

(c) Perfiles de acceso para el personal de mantenimiento, conserjería y servicios de emergencia (acompañamiento, registro temporal, verificación de identidad).

Acceso al registro

Este requisito se cumple mediante sistemas electrónicos de control de acceso. Se utilizan hojas de registro impresas para los visitantes.

A diferencia del control de acceso (locales/equipos), el objetivo del control de acceso (uso de sistemas) es impedir que los sistemas informáticos que guardan, procesan o utilizan datos personales sean accedidos o utilizados por personas no autorizadas.

2.1 Requisitos generales

2.1.1 Protección de acceso (autenticación)

Este requisito se cumple con las siguientes medidas:

(a) Protección del acceso a todos los sistemas de tratamiento de datos mediante la autenticación de los usuarios.

(b) Se aplican políticas de complejidad de contraseñas. Para los activos más sensibles, se requiere autenticación multifactor.

2.1.2 Autenticación fuerte al máximo nivel de protección

Este requisito se cumple con las siguientes medidas:

(a) Uso de mecanismos que requieren posesión y conocimiento para la autenticación (por ejemplo, autenticación con tarjeta inteligente de varias partes y frase de contraseña).

(b) Autenticación de red que requiere cifrado (por ejemplo, Kerberos).

2.1.3 Autenticación simple (nombre de usuario/contraseña) con nivel de protección alto

Este requisito se cumple con las siguientes medidas:

(a) Existen especificaciones sobre la longitud de la contraseña para los clientes y usuarios finales de Keyfactor(mínimo 8 caracteres).

(b) Existen especificaciones para la complejidad de la contraseña (mayúsculas, minúsculas, caracteres numéricos y especiales).

(c) Existen especificaciones para la autenticación multifactor cuando se accede a recursos internos.

2.1.4 Transmisión segura de secretos de autenticación (credenciales) en la red

El requisito se cumple con la siguiente medida:

(a) La información de autenticación sólo se transmite por la red una vez cifrada.

2.1.5 Bloqueo por intentos fallidos/inactividad y proceso para restablecer cuentas bloqueadas

Este requisito se cumple con las siguientes medidas:

(a) Keyfactor el acceso de usuario se bloquea tras múltiples intentos incorrectos. El acceso de usuarios finales y clientes se suspende temporalmente tras múltiples intentos incorrectos.

(b) Para el personal de Keyfactor existe un procedimiento seguro de restablecimiento (por ejemplo, restablecimiento de contraseñas por administradores autorizados).

2.1.6 Especificación de las personas autorizadas

Este requisito se cumple con las siguientes medidas:

(a) Existe el concepto de rol (perfiles de usuario predefinidos).

(b) Los derechos de acceso se asignan individualmente (en relación con personas concretas) cuando es necesario y se documentan.

(c) La población de personas autorizadas se ha limitado al mínimo operativamente necesario.

(d) No existen cuentas compartidas o reutilizables (por ejemplo, becario1, consultor1, etc.).

2.1.7 Gestión y documentación de medios de autenticación personal y derechos de acceso

Este requisito se cumple con las siguientes medidas:

(a) Se ha establecido, documentado y aplicado un proceso para solicitar, aprobar, asignar y recuperar soportes de autenticación y derechos de acceso.

(b) Se ha designado una organización responsable para la concesión de derechos de acceso.

2.1.8 Acceso al registro

Este requisito se cumple con las siguientes medidas:

(a) Todos los intentos de acceso a la red, tanto exitosos como fallidos, se registran (ID utilizado, ordenador, dirección IP) y se almacenan con fines de auditoría durante al menos 180 días.

(b) Deben realizarse evaluaciones periódicas de muestras de población en los registros de autenticación para el reconocimiento de abusos.

2.2 Medidas en el lugar de trabajo del usuario

2.2.1 Bloqueo automático de acceso

El requisito se cumple con la siguiente medida:

(a) En caso de inactividad de la estación de trabajo o terminal durante más de 15 minutos, la política de seguridad del sistema operativo activa automáticamente un salvapantallas protegido por contraseña.

2.2.2 Bloqueo de acceso manual

Este requisito se cumple con las siguientes medidas:

(a) Existe una política para que los puestos de trabajo estén protegidos contra el uso no autorizado cuando se abandona temporalmente el lugar de trabajo (por ejemplo, mediante la activación manual del salvapantallas protegido con contraseña).

(b) El personal de Keyfactor ha recibido formación sobre la necesidad de aplicar la medida a).

Los requisitos para el control de acceso a clasificaciones específicas de datos garantizarán que sólo las personas autorizadas tengan acceso a los datos para los que tengan un fin empresarial legítimo y que los datos no puedan ser manipulados ni leídos por personas no autorizadas.

3.1 Requisitos generales

3.1.1 Generación de un concepto de autorización

Este requisito se cumple con las siguientes medidas:

(a) Existen normas y procedimientos para crear, modificar y eliminar perfiles de autorización o funciones de usuario.

(b) Se establecen las áreas de responsabilidades administrativas.

3.1.2 Aplicación de las limitaciones de acceso

Este requisito se cumple con las siguientes medidas:

(a) Todo el personal de Keyfactor con derechos de acceso sólo puede acceder a los datos que requiera específicamente según sus responsabilidades laborales con los perfiles de autorización debidamente asignados.

(b) Cuando los inventarios de datos de varios responsables del tratamiento se guardan en almacenes de datos o se procesan con un sistema de tratamiento de datos, se aplican limitaciones lógicas de acceso alineadas únicamente con el tratamiento de datos para el responsable del tratamiento respectivo (capacidad de cliente múltiple).

3.1.3 Concesión de autorizaciones mínimas

El requisito se cumple con la siguiente medida:

(a) El alcance de las autorizaciones debe limitarse a los requisitos mínimos para realizar las tareas o funciones respectivas.

3.1.4 Gestión y documentación de los derechos de acceso personales

Este requisito se cumple con las siguientes medidas:

(a) Se ha implantado un proceso para solicitar, aprobar, asignar y revocar derechos de acceso, y cómo se revisan.

(b) Las autorizaciones se adjuntan a cuentas únicas, específicas para cada persona.

Se aplican los requisitos para garantizar que los datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión electrónica o el almacenamiento en soportes de datos, así como los medios de auditoría asociados.

4.1 Transporte a través de redes

4.1.1 Transmisión segura de datos entre servidores y clientes

El requisito se cumple con la siguiente medida:

(a) Si se establecen redes inalámbricas dentro de la infraestructura de red de Keyfactor , utilice el protocolo WPA2 o superior con modo de cifrado AES. Las redes inalámbricas de invitados están separadas de los sistemas de red corporativos de Keyfactormediante controles de acceso a la red (por ejemplo, LAN virtuales).

4.2 Acceso lógico a los sistemas

4.2.1 Minimización del riesgo mediante la separación de redes

Este requisito se cumple con las siguientes medidas:

(a) Se realiza una segmentación de la red, cuyo objetivo es que la transferencia de datos se realice a través de un mínimo de elementos de red.

(b) Los sistemas pertinentes están segregados mediante controles de acceso a la red en función de la clasificación de los datos.

4.2.2 Pasarelas de seguridad en los puntos de traspaso de la red

Este requisito se cumple con las siguientes medidas:

(a) Existen cortafuegos de red/hardware .

(b) Existen cortafuegos personales/de escritorio.

(c) Los cortafuegos están siempre activos.

(d) Los cortafuegos no pueden ser desactivados por los usuarios finales.

4.2.3 Proteger los sistemas

El requisito se cumple con la siguiente medida:

(a) Todos los parches de seguridad se aplican en un plazo de 30 días desde su publicación.

(b) Los parches de seguridad críticos se prueban y aplican con carácter de urgencia en función de su gravedad.

4.3 Envío seguro de datos

4.3.1 Disposiciones de envío

Si se envían datos, el requisito se cumple con las siguientes medidas:

(a) Existen disposiciones de embalaje y envío para el transporte de datos personales por parte de los transportistas de datos.

(b) En el caso de los datos personales, es obligatorio encriptarlos antes de su transmisión.

(c) La empresa de transporte debe autorizar antes del envío.

4.4 Borrado, eliminación y destrucción seguros

4.4.1 Proceso de recogida y eliminación

El requisito se cumple con la siguiente medida:

(a) Existen normas para la destrucción de documentos y soportes de datos de forma que se garantice la privacidad de los datos.

4.4.2 Procedimiento de supresión/destrucción para la protección de datos

Este requisito se cumple con las siguientes medidas:

(a) Los dispositivos de punto final se limpian de todos los datos antes de ser reutilizados por otros usuarios para que la recuperación sea imposible o sólo posible con un esfuerzo desproporcionado.

(b) Hardware componentes o documentos se limpian de datos personales para que su recuperación sea imposible o sólo posible con un esfuerzo desproporcionado.

Requisitos para garantizar que sea posible comprobar y establecer si se han introducido, modificado o suprimido datos personales en los sistemas de tratamiento de datos y quién lo ha hecho (control de entrada).

5.1 Requisitos generales

5.1.1 Documentación de los derechos de entrada

El requisito se cumple con la siguiente medida:

(a) Existe documentación sobre qué personas están autorizadas, debido a sus responsabilidades laborales, a realizar entradas en el sistema de procesamiento de datos.

Requisitos para garantizar que, en caso de tratamiento de datos personales por encargo, los datos se traten estrictamente de acuerdo con las instrucciones del responsable del tratamiento.

El requisito se cumple con la siguiente medida:

(a) El control del trabajo se aplica en el acuerdo de tratamiento de datos, así como mediante el control de la organización en la sección 9 del anexo 2.

Requisitos para garantizar que los datos personales están protegidos de la destrucción o pérdida accidental (control de disponibilidad).

7.1 Concepto de copia de seguridad

Este requisito se cumple con las siguientes medidas:

(a) Existe un programa de copias de seguridad de los sistemas.

(b) Se realizan copias de seguridad periódicas de acuerdo con los objetivos de retorno a las operaciones ("RTO") y de punto de recuperación ("RPO").

(c) Se designa una organización responsable de las operaciones de copia de seguridad y un representante.

7.2 Recuperación en caso de catástrofe

7.2.1 Plan de emergencia

El requisito se cumple con la siguiente medida:

(a) Existe un plan de emergencia en el que se enumeran los pasos que deben iniciarse y se especifica a qué personas debe informarse del incidente. El Responsable del Tratamiento ha indicado los contactos pertinentes en el Acuerdo de Tratamiento de Datos.

7.2.2 Almacenamiento de la copia de seguridad

Este requisito se cumple con las siguientes medidas:

(a) Las copias de seguridad de los datos, tanto electrónicas como en papel, se guardan en instalaciones de almacenamiento seguras que cumplen las normas del sector.

Requisitos para garantizar que los datos recogidos con fines diferentes puedan tratarse por separado.

8.1 Requisitos generales

8.1.1 Tratamiento por separado

El requisito se cumple con la siguiente medida:

(a) Existen normas y medidas técnicas y organizativas para garantizar el tratamiento (almacenamiento, modificación, supresión, transferencia, etc.) y/o la conservación por separado de datos y/o soportes de datos con diferentes fines contractuales.

9.1 Formación/Obligación

Este requisito se cumple con las siguientes medidas:

(a) Principios de privacidad de los datos, incluidas las medidas técnicas y organizativas.

(b) Obligación de privacidad en relación con los secretos operativos y empresariales, incluidos los procesos del responsable del tratamiento.

(c) Manipulación adecuada y cuidadosa de datos, ficheros, soportes de datos y otros documentos.

(d) En su caso, obligaciones especiales adicionales de confidencialidad.

(e) Se ha documentado la formación y se hace un seguimiento de su finalización.

(f) La formación se repite periódicamente, como mínimo una vez al año. Intervalos más cortos si así lo exige la legislación aplicable en territorios específicos.

9.2 Formación/Obligación de personas externas

Este requisito se cumple con las siguientes medidas:

(a) Existen normas sobre el acceso de personas externas (invitados, proveedores, etc.) a las instalaciones de tratamiento de datos.

(b) Estas normas contienen al menos que las personas externas sólo deben tener acceso a los sistemas de tratamiento de datos cuando se hayan comprometido al secreto de los datos y, en su caso, al secreto de las telecomunicaciones u otras obligaciones de confidencialidad y hayan recibido formación, antes de que puedan poner en funcionamiento y utilizar cualquier sistema de tratamiento de datos.

9.3 Regla representativa

Este requisito se cumple con las siguientes medidas:

(a) Se ha especificado un representante para todas las funciones necesarias desde el punto de vista operativo.

(b) El representante sólo debe recibir los derechos de acceso y admisión requeridos en el caso de que actúe como representante.

10.1 Gestión de las actividades de mantenimiento

El requisito se cumple con la siguiente medida:

(a) Para la asistencia remota en los puestos de trabajo cliente, la herramienta de administración remota debe estar configurada para obtener el consentimiento del usuario antes de cualquier intervención en su puesto de trabajo. El usuario debe poder ver que la asistencia remota está en curso.

10.2 Gestión de la subtransformación

Este requisito se cumple con las siguientes medidas:

(a) Redactar una cláusula específica para incluirla en los acuerdos con procesadores de datos/subcontratistas.

(b) Establecer las condiciones de destrucción de los datos a la expiración y terminación del acuerdo.

10.3 Software Desarrollo

El requisito se cumple con la siguiente medida:

(a) Llevar a cabo el desarrollo de software en un entorno informático separado del de producción (por ejemplo, en segmentos de red adecuadamente definidos).

10.4 Cifrado

Este requisito se cumple con las siguientes medidas:

(a) En cuanto al cifrado simétrico:

1. Utilice algoritmos de última generación (AES, triple DES).
2. Longitudes de clave de al menos 256 bits.

(b) En cuanto al cifrado asimétrico:

1. Utilizar algoritmos de última generación (RSA, ECC).
2. Se aconseja que las longitudes de clave sigan las recomendaciones del apéndice B1 del Marco General de Seguridad de Referencia francéshttp://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_B1.pdf(sólo en francés), es decir, longitudes de clave de 2048 bits.

 

Para las transferencias a (sub)encargados del tratamiento, describa también las medidas técnicas y organizativas específicas que deberá adoptar el (sub)encargado del tratamiento para poder prestar asistencia al responsable del tratamiento y, para las transferencias de un encargado del tratamiento a un subencargado, al exportador de datos.

Microsoft Corporation - Medidas técnicas y organizativas - Microsoft mantiene copias de su protección de datos de servicios profesionales en el siguiente enlace: https://www.microsoft.com/licensing/docs/view/Professional-Services-Data-Protection-Addendum-DPA. El documento incluye una descripción general de las medidas técnicas y organizativas de la empresa.

Salesforce.com, Inc. - Medidas técnicas y organizativas - Salesforce mantiene un Anexo de procesamiento de datos en línea aquí que incluye una breve descripción de sus medidas técnicas y organizativas: https://www.salesforce.com/content/dam/web/en_us/www/documents/legal/Agreements/data-processing-addendum.pdf. Salesforce afirma: "El importador de datos mantendrá salvaguardas administrativas, físicas y técnicas para la protección de la seguridad, confidencialidad e integridad de los Datos personales cargados en los Servicios SCC, tal y como se describe en la Documentación de seguridad, privacidad y arquitectura aplicable a los Servicios SCC específicos adquiridos por el exportador de datos, y accesibles a través de http://help.salesforce.com o puestos a disposición de forma razonable por el importador de datos. El importador de datos no disminuirá materialmente la seguridad general de los Servicios SCC durante un plazo de suscripción."

Rapid7 - Rapid7 proporciona una copia de su Anexo sobre Tratamiento de Datos, que incluye una descripción general de las medidas técnicas y organizativas que aplica la empresa, aquí: https://www.rapid7.com/legal/dpa/.

Mailgun / Sinch Email - Mailgun proporciona una copia de su Anexo de Procesamiento de Datos, que incluye una visión general de las medidas técnicas y organizativas que complementa, aquí: https://www.mailgun.com/legal/dpa/.