Seguridad de los datos

Prácticas de protección de datos

Hemos adoptado los siguientes principios para la recogida, uso, conservación, transferencia, divulgación y destrucción de información personal, que los trabajadores deben cumplir:
  • Trataremos la información personal de forma legal, justa y transparente;
  • Recopilaremos información personal únicamente con fines específicos, explícitos y legítimos;
  • Sólo procesaremos la información personal que sea adecuada, pertinente y necesaria para los fines pertinentes;
  • Conservaremos la información personal exacta y tomaremos medidas razonables para garantizar que la información personal inexacta se elimine/corrija sin demora;
  • No conservaremos los datos personales más tiempo del necesario para los fines para los que se tratan.
  • Adoptaremos las medidas técnicas y organizativas adecuadas para garantizar que la información personal se mantiene segura y protegida contra el tratamiento no autorizado o ilegal, y contra la pérdida, destrucción o daño accidentales.

Almacenamiento y protección de datos

Con el fin de cumplir con nuestras obligaciones con respecto al mantenimiento de la seguridad y la integridad de la información personal y los datos que poseemos, nuestros datos se almacenan de forma segura en un entorno de nube de AWS.

Las características generales de seguridad de nuestros datos incluyen:
  • Cifrado de todos los datos en tránsito de la siguiente manera:
    • El cliente a la API es HTTPS, terminado en el balanceador de carga de aplicaciones de AWS;
    • El tráfico de la API a la base de datos es interno a nuestra VPC y está cifrado.
    • Cliente a nuestro servidor de autenticación de usuarios (Auth0) encriptado en tránsito.
  • Cifrado de datos en reposo con lo siguiente:
    • Datos de la base de datos;
    • Registros de rastros en la nube; y
    • Registros de flujo de la VPC.
  • Los datos se cifran mediante el estándar de cifrado avanzado (AES) de 256 bits.
  • Claves de cifrado administradas a través de los servicios de administración de claves de AWS;
  • Las claves de cifrado se rotan según las mejores prácticas de AWS;
  • Registros de flujo de la VPC almacenados, cifrados y transmitidos a la plataforma central de registro Splunk;
  • Los registros de rastreo en la nube se almacenan cifrados en S3 y se envían a la plataforma central de registro Splunk;
  • Todos los registros de la aplicación WYWM transmitidos a Splunk para depuración / análisis;
  • Alertas enviadas para cualquier cambio en la configuración de los activos en la nube;
  • Inicio de sesión único habilitado para todos los administradores de la nube con autenticación de 2 factores habilitada;
  • Autorización de token web JSON utilizada en los servidores API WYWM para el control de acceso;
  • Acceso SSH deshabilitado para todas las instancias de computación;
  • Pruebas periódicas de penetración de nuestros sistemas realizadas por terceros.
  • El software se actualiza en función de las necesidades operativas pero, como mínimo, cada quince días. Esto incluye la mitigación de las amenazas y vulnerabilidades identificadas durante las evaluaciones periódicas y el funcionamiento BAU.
  • Antes de aprobar las mejoras y programas de la plataforma de WYWM, se lleva a cabo una evaluación de la seguridad para identificar y valorar las implicaciones pertinentes para la seguridad. Esta evaluación incluye un proceso de mitigación y evaluación de riesgos para garantizar que se mantiene y minimiza el cumplimiento y la vulnerabilidad.
  • También se actúa con la debida diligencia al evaluar a los nuevos proveedores de servicios informáticos para garantizar que su introducción no causará vulnerabilidades ni reducirá nuestra capacidad general de seguridad de los datos.
  • También evaluamos a todos los proveedores de servicios informáticos para comprobar que cumplen la legislación y la normativa pertinentes.