Prácticas de protección de datos
Hemos adoptado los siguientes principios para la recogida, uso, conservación, transferencia, divulgación y destrucción de información personal, que los trabajadores deben cumplir:
- Trataremos la información personal de forma legal, justa y transparente;
- Recopilaremos información personal únicamente con fines específicos, explícitos y legítimos;
- Sólo procesaremos la información personal que sea adecuada, pertinente y necesaria para los fines pertinentes;
- Conservaremos la información personal exacta y tomaremos medidas razonables para garantizar que la información personal inexacta se elimine/corrija sin demora;
- No conservaremos los datos personales más tiempo del necesario para los fines para los que se tratan.
- Adoptaremos las medidas técnicas y organizativas adecuadas para garantizar que la información personal se mantiene segura y protegida contra el tratamiento no autorizado o ilegal, y contra la pérdida, destrucción o daño accidentales.
Almacenamiento y protección de datos
Con el fin de cumplir con nuestras obligaciones con respecto al mantenimiento de la seguridad y la integridad de la información personal y los datos que poseemos, nuestros datos se almacenan de forma segura en un entorno de nube de Microsoft Azure.
Las características generales de seguridad de nuestros datos incluyen:
- Cifrado de todos los datos en tránsito de la siguiente manera:
- Cliente a API es HTTPS, terminado en el balanceador de carga de aplicaciones Azure;
- El tráfico de la API a la base de datos es interno a nuestra VPC y está cifrado.
- Cliente a nuestro servidor de autenticación de usuarios (Auth0) encriptado en tránsito.
- Cifrado de datos en reposo con lo siguiente:
- Datos de la base de datos;
- Registros de rastros en la nube; y
- Registros de flujo de la VPC.
- Los datos se cifran mediante el estándar de cifrado avanzado (AES) de 256 bits.
- Claves de cifrado gestionadas a través de los servicios de gestión de claves de Azure;
- Las claves de cifrado se rotan según las mejores prácticas de Azure;
- Alertas enviadas para cualquier cambio en la configuración de los activos en la nube;
- Inicio de sesión único habilitado para todos los administradores de la nube con autenticación de 2 factores habilitada;
- Autorización de token web JSON utilizada en los servidores API WYWM para el control de acceso;
- Acceso SSH deshabilitado para todas las instancias de computación;
- Pruebas periódicas de penetración de nuestros sistemas realizadas por terceros.
- El software se actualiza en función de las necesidades operativas pero, como mínimo, cada quince días. Esto incluye la mitigación de las amenazas y vulnerabilidades identificadas durante las evaluaciones periódicas y el funcionamiento BAU.
- Antes de aprobar las mejoras y programas de la plataforma de WYWM, se lleva a cabo una evaluación de la seguridad para identificar y valorar las implicaciones pertinentes para la seguridad. Esta evaluación incluye un proceso de mitigación y evaluación de riesgos para garantizar que se mantiene y minimiza el cumplimiento y la vulnerabilidad.
- También se actúa con la debida diligencia al evaluar a los nuevos proveedores de servicios informáticos para garantizar que su introducción no causará vulnerabilidades ni reducirá nuestra capacidad general de seguridad de los datos.
- También evaluamos a todos los proveedores de servicios informáticos para comprobar que cumplen la legislación y la normativa pertinentes.