POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
[Ultima actualización: 17 de Mayo de 2018]
Upclick Malta Limited dba Upclick (“Upclick” “Compañía” o “nosotros”) se compromete a proporcionar transparencia con respecto a las medidas de seguridad que ha implementado para proteger las informaciones personales (de acuerdo a la Regulación General de Protección de Datos (Regulación 2016/679 (“RGPD”)) procesado por la compañía con el propósito de proporcionar sus servicios como se detalla en la política de privacidad de la compañía, disponible en el sitio: https://upclick.com/privacy_es.html
Esta política de seguridad de la información ("Política de seguridad") describe las medidas de seguridad actuales implementadas por la Compañía a partir de la fecha de "Última actualización" indicada anteriormente. Continuaremos actualizando esta Política de seguridad de vez en cuando, según lo exijan las leyes aplicables y nuestras políticas internas.
Como parte de nuestro proceso de cumplimiento de RGPD (disponible en: www.upclick.com/gdpr) y nuestro cumplimiento del estándar de seguridad PCI (todos los sistemas están certificados por el Proveedor de Servicios de Nivel 1 de PCI. La compañía cumple con los requisitos de nivel 1 de PCI-DSS), hemos implementado protecciones de monitoreo organizacional, a su vez hemos establecido un extenso programa de información y seguridad cibernética, todo con respecto a los Datos Personales procesados por la Compañía. La compañía se esfuerza al máximo para garantizar que sus empleados cumplan con esta Política de seguridad.
Control de Acceso al Sistema
El acceso a todos los sistemas de procesamiento de datos se realiza únicamente a través de los sistemas de autenticación de usuarios de la Compañía. solo una parte del personal específico tiene acceso a los sistemas. Todo el acceso a la red de administración de sistemas de la Compañía está disponible únicamente desde la oficina que pasa por un enlace privado de fibra oscura al centro de datos. Los sistemas no son accesibles desde Internet. Todo el acceso a la red de administración de sistemas de la Compañía está encriptado por VPN y TLS 1.2. la autenticación es multifactorial La autenticación de cada sistema se realiza a través de una contraseña de usuario, única para cada empleado o personal y de un controlador de dominio diferente dedicado a dicho entorno. Cumple con los requisitos de nivel 1 de PCI-DSS, como por ejemplo, los usuarios predeterminados están deshabilitados, el control de contraseñas y la supervisión manual y permanente de todo el acceso al sistema. UpClick ha implementado medidas extremas para garantizar que los Datos Personales estén protegidos.
Control de Acceso de Datos
El acceso a los datos personales está restringido únicamente a los empleados a los que se requiere acceso. Los empleados son educados y evaluados con respecto a la seguridad de los datos personales. La base de datos solo es accesible para los administradores de bases de datos y desarrolladores senior. Todos los sistemas de la Compañía cumplen con el cumplimiento del Proveedor de servicios de nivel 1 de PCI.
Control de Acceso Físico
Todos los sistemas de la Compañía están en una jaula ubicada en una colocación. Para entrar en la colocación, se requiere una huella digital (biométrica) junto con una tarjeta de acceso. Una vez ingresado, el personal del operador de seguridad 24/7 debe verificar la identidad del individuo y registrar la entrada y salida. Una vez dentro de la empresa, se requiere una clave para abrir el candado de la jaula. Todas las puertas y pasillos están bajo video vigilancia. Toda la vigilancia de las secuencias de video si la Compañía la almacena durante un período mínimo de tres meses.
Control de Transferencias
El objetivo del control de transferencias es garantizar que los datos personales no puedan ser leídos, copiados, modificados o eliminados por terceros no autorizados durante la transmisión electrónica de datos o durante su transporte en movimiento, al centro de datos correspondiente. Los datos del cliente no se transfieren a ninguna otra parte que no sea la base de datos de la Compañía. Una copia de seguridad se envía fuera del sitio a través de un enlace privado. El área de respaldo externa está protegida por una tarjeta de acceso para acceso físico. La transmisión de datos durante las copias de seguridad está encriptada. Archivos encriptados sobre SFTP. IPN sobre TLS 1.2 y acceso API tokenizado.
Control de Disponibilidad y Control de Propósito
La Compañía tiene un sitio de recuperación de desastres, ubicado en otra ubicación geográfica y está listo para continuar su operación en caso de falla del sistema o de seguridad. Esta ubicación de respaldo es visitada cada año por un QSA (Asesor de Seguridad Calificado) certificado. La copia de seguridad de la base de datos de la compañía que se envía fuera del sitio se transfiere únicamente a través de un enlace privado. El área de respaldo externa está protegida por una tarjeta de acceso para acceso físico. La transmisión de datos durante las copias de seguridad se cifra como se indica en la cláusula de control de transferencias. Todos los entornos de prueba no procesan ni usan datos reales.
Retención de Datos
Los datos personales y los datos sin procesar se eliminan tan pronto como sea posible o tan pronto como sea requerido por ley.
Control de Trabajo
Los empleados y los procesadores de datos están suscritos a los acuerdos aplicables y vinculantes, todos los cuales incluyen disposiciones de datos aplicables y obligaciones de seguridad de datos. Además, como parte del proceso de empleo, los empleados se someten a un proceso de selección aplicable según la ley regional. Los empleados están obligados a seguir las políticas y procedimientos de la Compañía y las violaciones pueden resultar en acciones disciplinarias que pueden incluir la terminación del empleo. Un empleado no tendrá acceso a los datos personales hasta que la compañía tenga la confianza de que el empleado está bien educado y es responsable de manejar los datos personales, si es necesario, de manera segura. Además, la Compañía tiene una capacitación anual sobre cumplimiento que incluye educación en seguridad de datos.
La compañía se ha asegurado de que todos los documentos, incluidos sin limitaciones, los acuerdos, las políticas de privacidad, los términos en línea, etc. cumplan con el RGPD. Nuestro equipo Legal se ocupa de asegurar que nuestra documentación legal se actualice para reflejar cualquier cambio e incluir las disposiciones obligatorias del Procesador requeridas por el Artículo 28 de la RGPD.
LOS DEPARTAMENTOS DE SEGURIDAD DE LA INFORMACIÓN, LEGAL, PRIVACIDAD Y CUMPLIMIENTO TRABAJAN PARA IDENTIFICAR LAS LEYES REGIONALES, REGLAMENTOS APLICABLES AL CUMPLIMIENTO DE LA COMPAÑÍA. POR LO TANTO, ESTA POLÍTICA DE SEGURIDAD PUEDE ACTUALIZARSE DE VEZ EN CUANDO, DE ACUERDO CON CUALQUIER LEGISLACIÓN APLICABLE O POLÍTICAS INTERNAS.