NUESTRAS NORMAS DE PROTECCIÓN DE DATOS
Básico
Garantizamos la aplicación y el cumplimiento de las medidas técnicas y organizativas requeridas de acuerdo con el artículo 32 de la DSGVO. Entre ellas se encuentran las medidas para garantizar la confidencialidad, la disponibilidad y la resistencia permanentes de los sistemas y servicios de procesamiento de datos. Las medidas técnicas y organizativas adecuadas incluyen, por ejemplo, el cifrado de los datos personales y un estricto control de acceso.
Responsable de la protección de datos
El responsable de la protección de datos de Startcon GmbH es Peder Iblher. Puede ponerse en contacto con él en
datenschutz@startcon.berlin para sus dudas.
Documentación y auditoría
Utilizamos procedimientos y documentación que prevén la auditoría, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas aplicadas para garantizar la seguridad del tratamiento de datos.
Formación
Llevamos a cabo cursos de formación sobre protección y seguridad de datos con carácter bianual.
Acceso físico a los servidores
El acceso físico a los servidores lo proporciona nuestro proveedor de servicios en la nube. Sus servidores están situados en la UE.
Acceso físico a los soportes de datos
Además, los soportes de datos sólo se almacenan en ubicaciones seguras en las que existen fuertes controles de acceso físico.
Almacenamiento
– El acceso a todos los servicios y datos de los clientes está protegido por la gestión de identidades. Esto incluye un concepto de autorización y fuertes medidas de autentificación en línea con los estándares corporativos.
– Todos los derechos de acceso y las autorizaciones de los usuarios de los sistemas de procesamiento de datos se comprueban y recertifican una vez al año; los derechos de acceso altamente privilegiados se recertifican al menos una vez cada seis meses.
Usuarios, Política del lugar de trabajo
– Los intentos de acceso infructuosos se evalúan periódicamente.
– Todos los servidores y estaciones de trabajo tienen una configuración de seguridad adecuada y se comprueban continuamente las vulnerabilidades. Cualquier vulnerabilidad identificada se aborda en consecuencia.
– Todos los servicios y estaciones de trabajo requieren un nombre de usuario y una contraseña que cumpla con nuestra política de contraseñas:
– Todas las contraseñas contienen letras mayúsculas y minúsculas, caracteres especiales y números y tienen al menos doce dígitos.
– Las contraseñas no deben compartirse con nadie. Todas las contraseñas deben ser tratadas como información sensible y confidencial.
– Las contraseñas estándar no se utilizarán o se cambiarán inmediatamente.
– Todas las contraseñas a nivel de operador deben cambiarse al menos una vez cada seis meses. En el caso de la autorización de acceso crítico, el cambio debe realizarse una vez al trimestre.
Acceso a los datos
Nos aseguramos de que nuestro personal y consultores autorizados sólo acceden a los datos a los que se aplica su autorización de acceso:
– El acceso a los recursos sólo se concede si la persona en cuestión está autorizada a acceder a ellos.
– Los permisos de acceso de los usuarios a los sistemas y los datos, incluida la configuración del supervisor y la concesión de derechos de acceso, se solicitan, modifican o revocan como parte de un flujo de trabajo predefinido.
– Una cuenta de usuario se asigna exclusivamente a un usuario específico.
– Todos los usuarios están asignados a grupos específicos.
Intercambio de datos
Nos aseguramos de que los datos personales puedan ser verificados y confirmados cuando se pretende compartirlos y las partes interesadas han proporcionado o presentado sus datos personales para este fin.
– Todo el personal es responsable de garantizar que los datos se comuniquen sólo cuando
– esto se hace utilizando tecnologías de comunicación predefinidas
– se persigue un objetivo legal o comercial claro
– el miembro del personal correspondiente ha firmado un acuerdo de confidencialidad por el que acepta la responsabilidad de la protección de datos
– esto se ajusta a los acuerdos de confidencialidad existentes
– el destinatario está autorizado a recibir los datos
– esto no viola los principios de seguridad explicados durante la formación de seguridad.
– Las personas con funciones administrativas están autorizadas a comunicarse directamente con los servidores o las aplicaciones si
– la conexión está asegurada por una fuerte encriptación
– la autenticidad del servidor o de la aplicación ha sido verificada.
– La comunicación de datos a empleados de empresas o personas ajenas a la empresa sólo está permitida si el interesado puede garantizar la seguridad de los datos enviados.
– La infraestructura informática está protegida contra el envío electrónico no autorizado mediante cortafuegos.
– La infraestructura informática está protegida por la desactivación de los puertos que no se necesitan y por los protocolos de transporte.
Procesamiento de datos
Nos aseguramos de que sea posible rastrear si los datos personales han sido introducidos en los sistemas de AD y por quién, y si estos datos personales han sido modificados o eliminados.
– Los sistemas de tratamiento de datos sólo pueden utilizarse si los usuarios han sido sometidos previamente a fuertes controles de identificación y autentificación.
– Se ha implantado una política de copias de seguridad y conservación, que define los procedimientos para las copias de seguridad de los datos y su almacenamiento seguro durante el periodo de conservación.
Transporte
Nos aseguramos de que durante la transferencia de datos personales y durante el transporte de los soportes de datos, se proteja la confidencialidad e integridad de los datos:
– Existen políticas y procedimientos para garantizar que
– los datos enviados a través de las redes públicas se encriptan utilizando un cifrado fuerte y certificados válidos y correctos que se comprueban al menos una vez al trimestre
– todos los datos de autentificación están encriptados,
– todo el personal y los socios son conscientes de sus responsabilidades.
– No hay comunicación de datos en forma física (memorias USB, CD, etc.).
Fiabilidad
Nos aseguramos de que todas las funciones de los sistemas de procesamiento de datos sean operativas y de que se comuniquen las incidencias que las afectan:
– los procedimientos que debe aplicar un responsable de la gestión de incidentes, incluidas las disposiciones relativas a los procedimientos de escalada y a un árbol de llamadas
– Procedimientos de gestión de incidentes
– Procedimientos de gestión de la información y los eventos de seguridad (SIEM) para violaciones de la seguridad, pérdida de información, divulgación no autorizada y otras emergencias
– procedimientos estandarizados de gestión de cambios y pruebas para garantizar la prestación de servicios sin interrupciones.
Integridad de los datos
Nos aseguramos de que los datos personales almacenados no se corrompan por el mal funcionamiento del sistema mediante:
– tener una infraestructura de centro de datos redundante y un centro de datos a prueba de fallos
– el uso de técnicas de gestión de bases de datos que permitan la recuperación de los datos en caso de mal funcionamiento del sistema.
Mandato de procesamiento de datos
Nos aseguramos de que los datos personales sólo puedan ser tratados de acuerdo con nuestras instrucciones y las de nuestros clientes:
– regular todas las órdenes de tratamiento de datos personales en los contratos escritos
– regular los requisitos básicos en materia de responsabilidad, asignación de responsabilidades, requisitos y medidas de seguridad y derechos de control
– asistir a los poderes adjudicadores en el ejercicio de sus derechos de supervisión
– apoyo a los responsables de la protección de datos de nuestros clientes
– verificar el cumplimiento de las obligaciones contractuales.
Disponibilidad
Nos aseguramos de que los datos personales estén protegidos contra la destrucción o pérdida accidental mediante normas de continuidad de negocio y recuperación de desastres basadas en un análisis de impacto de negocio (BIA).
Nuestro análisis de impacto empresarial incluye lo siguiente:
– la definición del alcance de los activos y la identificación de los activos incluidos en ese alcance
– Una identificación de los activos informáticos existentes o previstos, de los flujos de datos y de control y de su estado respectivo.
– una identificación de las amenazas presentadas, los tipos de amenazas y sus fuentes
– una evaluación del impacto que podría tener una pérdida de confidencialidad, integridad, autenticidad o disponibilidad
– medidas de protección derivadas en caso de dicho impacto.
Nuestro Centro de Protección de Datos ha implementado controles ambientales apropiados, incluyendo:
– mecanismos de detección automática de incendios
– Medidas de protección contra los daños causados por el agua
– Unidades de alimentación ininterrumpida (SAI)
– Controles de clima y temperatura
– Control de las condiciones ambientales de los servidores.
Nos aseguramos de que los datos recogidos para diferentes fines se traten por separado:
– Procesamiento de datos por separado para diferentes clientes
– Acceso a los sistemas de procesamiento sólo después de que se hayan establecido fuertes controles de identificación y autenticación para nuestro personal
– Realización de pruebas funcionales y no funcionales
– Un procedimiento normalizado para la gestión de errores.
Berlín en mayo de 2020