Medidas de Seguridad Técnicas y Organizativas

Descripción de las medidas técnicas y organizativas aplicadas por Quibim para garantizar un nivel adecuado de seguridad y protección de los datos personales (las «Medidas de seguridad»), teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de los interesados.

 

Confidencialidad y control de acceso

  • Debe impedirse el acceso a los datos personales por parte de personas no autorizadas. Para ello, la política interna de Clean Desk de Quibim impide dejar datos personales expuestos a terceros. Los soportes electrónicos y los documentos en papel se guardarán en un lugar seguro (armarios cerrados o salas de acceso restringido). Cuando se ausente del puesto de trabajo, se bloqueará la pantalla o se cerrará la sesión.
  • Se establece un control de acceso físico para impedir el acceso no autorizado a los sistemas de procesamiento de datos. Quibim ha implantado un sistema automatizado de control de acceso, un sistema de alarma y otras medidas de protección, como cerraduras de seguridad o un protocolo de registro de visitantes.
  • No se eliminarán documentos o soportes electrónicos (CD, pen drives, discos duros, etc.) que contengan datos personales sin garantizar su destrucción. No obstante, por lo general, los empleados no utilizarán ningún dispositivo de almacenamiento externo de conformidad con la política interna de Quibim sobre dispositivos de propiedad corporativa y el procedimiento operativo estándar (o «<b>SOP</b>») relativo a la gestión de activos.SOP”) en materia de gestión de activos.
  • No se comunicarán datos personales ni información personal a terceros sin seguir los procedimientos establecidos en la normativa aplicable sobre protección de datos personales. Se tendrá especial cuidado en no revelar datos personales durante consultas telefónicas, en correos electrónicos o similares.
  • Existe un sistema de gestión de contraseñas para asegurar la calidad de las mismas y, por tanto, garantizar la adecuada confidencialidad y seguridad de los datos personales almacenados en los sistemas electrónicos, de acuerdo con la Política de Contraseñas interna de Quibim y las mejores prácticas en SOP de ciberseguridad.
  • Se deben proporcionar dos factores de autenticación para el acceso a los sistemas y plataformas cuando sea técnicamente posible. Debe garantizarse la confidencialidad de las contraseñas, evitando que sean expuestas a terceros. En ningún caso se compartirán o dejarán escritas las contraseñas, y no se permitirá el acceso a las mismas a personas ajenas al usuario.
  • Se implementará un proceso formal de alta y baja de usuarios que permita la asignación y revocación de derechos de acceso para todos los tipos de usuarios a todos los sistemas y servicios. La asignación y el uso de derechos de acceso privilegiados están restringidos y controlados. Los derechos de acceso se suprimen al cesar la relación laboral, al finalizar la prestación de servicios o se ajustan en caso de cambio.
  • Cuando es necesario extraer datos personales fuera de los locales donde se tratan, ya sea por medios físicos o electrónicos, se utilizan métodos de cifrado de extremo a extremo para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
  • Quibim utiliza técnicas criptográficas para proteger la confidencialidad, integridad y autenticidad de la información durante su almacenamiento y/o transmisión. En concreto, se utilizan técnicas de cifrado para las siguientes técnicas: acceso remoto vía VPN, comunicaciones entre apps desarrolladas y servidores, cifrado de información en reposo (bases de datos y almacenamientos) en el sistema de almacenamiento Microsoft Azure mediante Azure Storage Service Encryption (cifrado Advanced Encryption Standard (AES) de 256 bits), certificados de firma electrónica, cifrado de portátiles o cifrado de copias de seguridad.
  • El control de acceso a los datos se establece de acuerdo con las políticas internas de Quibim (a saber, la Política de Gestión de Acceso y el SOP de control de acceso), requiriendo, entre otras medidas, el registro de los accesos a las aplicaciones, específicamente al ingresar, modificar y eliminar datos.
  • La separación del tratamiento de los datos recogidos para distintos fines se lleva a cabo con la separación de los entornos de desarrollo, prueba y producción (todas las integraciones de clientes se desarrollan y ensayan en un entorno de prueba, y las actualizaciones sólo se liberan a producción tras las pruebas suficientes), la separación física de los sistemas, bases de datos y soportes de datos, y la determinación de los derechos de las bases de datos.
  • Cuando se produzca una violación de la seguridad de los datos de carácter personal, como, por ejemplo, robo o acceso indebido a datos de carácter personal, se notificará a la Agencia Española de Protección de Datos en el plazo de 72 horas sobre dichas violaciones de seguridad, incluyendo toda la información necesaria para esclarecer los hechos que hubieran dado lugar al acceso indebido a los datos de carácter personal. La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección:  https://sedeagpd.gob.es.

 

Integridad

  • De acuerdo con la política interna de gestión de accesos de Quibim, los procedimientos normalizados de trabajo (SOP) de gestión de accesos y los procedimientos normalizados de trabajo (SOP) de control de accesos, debe haber el menor número posible de cuentas de usuario administrador siguiendo los principios de necesidad de conocer y mínimo privilegio.
  • Cuando diferentes personas accedan a datos personales, será obligatorio que cada una de ellas disponga de un nombre de usuario y una contraseña específicos. Todos los usuarios utilizarán un identificador único para acceder a todos los sistemas y aplicaciones.
  • Los dispositivos y ordenadores portátiles utilizados para el almacenamiento y tratamiento de datos personales se mantienen actualizados a las últimas versiones disponibles.
  • Existe un inventario de activos de hardware y software para identificar los activos asociados a los sistemas de información con el fin de determinar la responsabilidad y la propiedad de los activos.
  • El control de la transmisión se implementa, cuando procede, mediante el uso de una red privada virtual (VPN), el registro de los accesos y las recuperaciones, y el despliegue a través de conexiones cifradas como HTTPS o el cifrado del correo electrónico.
  • El control de entrada se implementa con registros de eventos, que registran las actividades de los usuarios y los eventos de seguridad de la información. Las instalaciones de registro y la información de registro están protegidas contra la manipulación y el acceso no autorizado. Se registran las actividades del administrador y del operador del sistema, y los registros se protegen y revisan periódicamente.
  • La integridad de los datos se garantiza con la gestión y el control individualizado de cada cambio, asignando derechos individualizados de introducción, modificación y supresión de datos sobre la base de un concepto de autorización, el registro técnico de la introducción, modificación y supresión de datos y medidas adecuadas de trazabilidad de la introducción, modificación y supresión de datos por nombres de usuario individuales, entre otros.
  • Cualquier cambio realizado en el código fuente se revisa mediante análisis estático de código antes de su puesta en producción para garantizar, entre otros aspectos, que no existen vulnerabilidades o puntos críticos de seguridad en el mismo.

 

Disponibilidad y robustez

  • Todos los ordenadores y dispositivos en los que se lleva a cabo el tratamiento automatizado de datos de carácter personal disponen de un sistema antivirus o medidas análogas que garantizan, en la medida de lo posible, el robo y destrucción de información y datos de carácter personal, detectando, previniendo y recuperando el control frente a malware.
  • Con el fin de evitar accesos remotos indebidos a los datos de carácter personal, en todos los ordenadores portátiles y dispositivos (bajo la gestión de Quibim) en los que se almacenan y/o tratan datos de carácter personal, se encuentra implantado un sistema de cortafuegos (firewall) que se actualiza periódicamente.
  • Las copias de seguridad cifradas de toda la información empresarial, de desarrollo y de producción contenida en la infraestructura del proveedor de servicios en la nube de Quibim (alojada en Microsoft Azure) se realizan periódicamente de acuerdo con los procedimientos internos de copia de seguridad de Quibim. Los servicios Azure Backup y Azure Site Recovery se emplean para garantizar un plan de recuperación ante desastres para el almacenamiento de archivos compartidos de Azure. Estos servicios habilitan la opción Geo-Redundant Storage (GRS) para permitir el almacenamiento de copias de seguridad en una región separada de sus datos de origen. Esto permite el uso de la copia de seguridad en caso de interrupción o fallo regional. También permite separar las copias de seguridad de los datos de origen para mayor seguridad.
  • Los archivos de las aplicaciones y los datos de producción se copian de acuerdo con las políticas de copia de seguridad establecidas.
  • Existe un Plan de Continuidad de Negocio para garantizar el nivel necesario de continuidad de las operaciones empresariales durante una situación adversa que pueda afectar a la continuidad del negocio. Como parte del Plan de Continuidad de Negocio, un plan de emergencia especifica los procedimientos y acciones para restablecer las operaciones de los servicios esenciales en el menor tiempo posible y en las mejores condiciones.

 

Derechos de los interesados

Todos los empleados de Quibim conocen sus obligaciones en relación con el tratamiento de datos personales y están informados sobre el procedimiento para abordar los derechos de los interesados. La política interna de gestión de derechos GDPR de Quibim define claramente los mecanismos mediante los cuales pueden ejercerse los derechos, reconociendo que el responsable del tratamiento responderá a los interesados sin dilaciones indebidas.

  • Para el derecho de acceso, se facilitará a los interesados una relación de los datos personales que obran en poder de Quibim junto con la finalidad para la que han sido recabados, la identidad de los destinatarios de los datos, los plazos de conservación y la identidad del responsable ante el que pueden solicitar la rectificación, supresión y oposición al tratamiento de los datos.
  • Para el derecho de rectificación, el responsable del tratamiento procederá a modificar los datos de los interesados que fueran inexactos o incompletos de acuerdo con las finalidades del tratamiento.
  • Para el derecho de supresión, se procederá a la supresión de los datos de los interesados cuando éstos manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos, y no exista deber jurídico de impedirlo.
  • Para el derecho de portabilidad, los interesados deberán comunicar su decisión e informar al responsable del tratamiento, en su caso, sobre la identidad del nuevo responsable al que facilitar sus datos personales.
  • Para el derecho de oposición, se dejarán de tratar los datos de los interesados conforme a los fines para los que se solicita la oposición al tratamiento por parte de los interesados.
  • Para el derecho a no ser objeto de decisiones individuales automatizadas, el responsable del tratamiento informará de la falta de tratamiento de los datos del interesado en este sentido, aportando las pruebas oportunas.

 

Procedimientos de revisión, valoración y evaluación periódicas

  • Quibim ha obtenido las siguientes certificaciones:
    • ISO/IEC 27001:2022 y UNE-EN ISO/IEC XNUMX:XNUMX - Sistema de Gestión de la Seguridad de la Información.
    • ISO 13485:2016 y UNE-EN ISO 13485:2016 - Sistema de gestión de la calidad
    • Esquema Nacional de Seguridad según el Real Decreto XNUMX/XNUMX Esquema Nacional de Seguridad, categoría Media) según Real Decreto 311/2022
    • Plan Cyber ​​Essentials.
  • Todo el software se desarrolla bajo el Sistema de Gestión de Calidad de Quibim, certificado bajo la norma ISO 13485.
  • Se lleva a cabo una revisión anual, mediante auditorías internas independientes, de todas las disposiciones de desarrollo seguro, establecidas en el marco del SGSI, y Quibim revisará periódicamente la eficacia de las Medidas de Seguridad aquí establecidas.
  • Quibim lleva a cabo actividades de vigilancia post-comercialización con regularidad para controlar la seguridad y el rendimiento de todos sus productos y servicios.
  • Todos los empleados reciben formación periódica sobre protección de datos y están sujetos a obligaciones de confidencialidad y secreto de los datos, que sobreviven a la finalización y expiración de la relación laboral de los empleados con Quibim.
  • Quibim celebra acuerdos de tratamiento de datos con todos los contratistas en los que se describen sus requisitos de protección y seguridad de los datos, con un proceso de contratación previo que implica la debida diligencia en relación con la seguridad de los datos.
  • De conformidad con los artículos 37, 38 y 39 del GDPR, Quibim ha designado un Responsable de Protección de Datos (dpo@quibim.com) que supervisa el cumplimiento por parte de Quibim de la legislación en materia de protección de datos.

 

Quibim podrá actualizar o modificar periódicamente las presentes Medidas de Seguridad, siempre que dichas actualizaciones y modificaciones no supongan una degradación de la seguridad general.

Sitio web de Quibim
Powered by  Cumplimiento de cookies GDPR
Descripción general de privacidad

Cuando visita cualquier sitio web, este puede almacenar o recuperar información en su navegador, principalmente en forma de cookies. Esta información puede ser sobre usted, sus preferencias o su dispositivo y se utiliza principalmente para que el sitio funcione como espera. La información no lo identifica directamente, pero puede brindarle una experiencia web más personalizada. Debido a que respetamos su derecho a la privacidad, puede optar por no permitir algunos tipos de cookies. Haga clic en los encabezados de cada categoría para obtener más información y cambiar nuestra configuración predeterminada. Sin embargo, bloquear algunos tipos de cookies puede afectar su experiencia en el sitio. Puede encontrar más información, incluida una explicación detallada de las cookies, en nuestra Política de cookies. Política de cookies.