Declaración de seguridad de Rods&Cones

Rods&Cones mantiene un programa de seguridad de la información centrado en la seguridad e integridad de los datos de los clientes. El programa de seguridad de la información incluye controles administrativos, técnicos y operativos apropiados para el tamaño de su negocio y los tipos de información que procesa.

Monitorización
Rods&Cones supervisa sus sistemas registrando los eventos relacionados con la seguridad, alertando de las actividades sospechosas y llevando a cabo un análisis posterior de las mismas.

Control de acceso lógico
El acceso a los datos de los clientes está restringido en base al principio de mínimo privilegio; el acceso se emite a través de un proceso documentado de autorización de acceso.

Revisión del acceso de los usuarios
Evaluamos periódicamente el acceso de los usuarios a lo largo de todo el ciclo de vida de una cuenta de usuario, desde su creación hasta su cese, para garantizar la idoneidad de las cuentas de usuario. Cada mes, la aplicación Rods&Cones genera un informe con el derecho de acceso (rol), la última hora de acceso y la frecuencia de acceso de cada usuario. Este informe está disponible para cada cuenta. El responsable de operaciones de la plataforma Rods&Cones puede cambiar el rol o revocar el acceso de los gestores de cuentas y de los usuarios superadministradores cuyo acceso ha cambiado o ya no es necesario. Los gestores de cuentas pueden hacer lo mismo con los usuarios de sus cuentas.

Seguridad del personal
Rods&Cones se asegura de contratar a profesionales cualificados que siguen la formación en seguridad y privacidad de datos de Rods&Cones y firman un acuerdo de confidencialidad, un acuerdo de uso aceptable de los sistemas de información y un código de conducta. Los traslados de personal dan lugar a cambios en la gestión de los accesos en función del menor privilegio y de la función.

Gestión de incidentes
Rods&Cones mantiene un programa de gestión de incidentes de seguridad de la información que proporciona una respuesta y notificación oportunas, según proceda, a los incidentes de seguridad, con el fin de proteger la información de los clientes de forma adecuada al tamaño de su negocio.

Política de continuidad de la actividad
Toda la información propiedad de Rods&Cones se almacena en sistemas SAAS en la nube, donde los procesadores de datos duplican la información en varios sitios. Para la restauración de los datos, el equipo de Rods&Cones garantiza una política sana de copia de seguridad-recuperación.

Seguridad del software

Proceso de lanzamiento del software
Gracias a la arquitectura SaaS, existe una única versión de la infraestructura en la nube de Rods&Cones.
El proceso de desarrollo ágil está estructurado en un ciclo quincenal para las versiones menores y un ciclo trimestral para las versiones mayores. El proceso implica a todas las partes interesadas de la empresa, con el apoyo de las herramientas más modernas.

Seguridad de las contraseñas
Las contraseñas de los usuarios están protegidas con la encriptación SHA512 estándar de la industria. Aplicamos la verificación en dos pasos. El personal de Rods&Cones no tiene acceso a las contraseñas de los usuarios. Las credenciales de inicio de sesión se transmiten siempre de forma segura a través de HTTPS.

Seguridad física
Los datos y las aplicaciones se alojan en Microsoft Azure, todo ello en los Países Bajos. Estas plataformas cumplen con las normas de seguridad más estrictas.

OWASP Top 10
Comprobamos nuestra aplicación con el OWASP Top 10.

Cifrado
Los datos se almacenan mediante un cifrado AES de 256 bits y un descifrado del lado del servidor.

Seguridad de la red
Rods&Cones ha implementado controles de seguridad de cortafuegos, detección de intrusos y antivirus para proteger los datos de los clientes de pérdidas o divulgaciones no autorizadas.

Copias de seguridad y recuperación de desastres
Realizamos copias de seguridad diarias de los sistemas de archivos que pueden volver a desplegarse en caso de desastre.

Comunicaciones
Todas las conexiones web a las instancias de los clientes están protegidas con un cifrado SSL de 128 bits de última generación. La conexión utiliza TLS 1.2. La conexión se encripta y autentifica utilizando el cifrado AES_128_GCM.

Medidas de seguridad específicas para la privacidad
La plataforma de Rods&Cones y, por tanto, todos los datos personales almacenados están alojados y almacenados en Microsoft Azure, con certificación ISO 27018. Los datos se alojan físicamente en los Países Bajos.

La autenticación y la autorización del control de acceso se basan en las credenciales de la contraseña de inicio de sesión, combinadas con otras restricciones basadas en la dirección IP de origen y el nombre de dominio de destino. La autorización se basa en listas de control de acceso adjuntas a los administradores o usuarios.

Para cumplir con las limitaciones descritas en el artículo 32 del GDPR, Rods&Cones:

• confía en que Microsoft Ireland Operations Limited impida el acceso de personas no autorizadas a los equipos de procesamiento de datos utilizados para el tratamiento de datos personales (control de acceso a los equipos);
• se basa en los procesos de autenticación y autorización descritos anteriormente para impedir la lectura, la copia, la modificación o la eliminación no autorizadas de los soportes de datos (control de los soportes de datos);
• confía en Microsoft Ireland Operations Limited y en los procesos adecuados de autenticación y autorización descritos anteriormente para evitar la introducción no autorizada de datos y la inspección, modificación o eliminación no autorizadas de los datos personales almacenados (control del almacenamiento);
• se basa en los procesos de autenticación y autorización descritos anteriormente para impedir el uso de los sistemas de tratamiento automatizado de datos por parte de personas no autorizadas que utilicen equipos de comunicación de datos (control de usuarios);
• se basa en los procesos de autenticación y autorización descritos anteriormente para garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado de datos sólo tengan acceso a los datos cubiertos por su autorización de acceso (control de acceso a los datos);
• se basa en los procesos de autenticación y autorización descritos anteriormente, combinados con los registros administrativos y el cifrado de las comunicaciones, para garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse o ponerse a disposición los datos personales mediante equipos de comunicación de datos (control de las comunicaciones);
• se basa en los procesos de autenticación y autorización descritos anteriormente, combinados con los datos recogidos a lo largo de la cadena de recogida (como se ha descrito anteriormente), para garantizar que posteriormente sea posible verificar y establecer qué datos personales se han introducido en los sistemas de tratamiento automatizado de datos y cuándo y quién los ha introducido (control de entrada);
• se basa en el transporte encriptado (HTTPS) y/o en archivos zip encriptados para evitar la lectura, la copia, la modificación o la supresión no autorizadas de datos personales durante las transferencias de datos personales o durante el transporte de soportes de datos (control del transporte);
• se basa en procesos de copia de seguridad para garantizar que los sistemas instalados puedan, en caso de interrupción, ser restaurados (recuperación);
• se basa en pruebas periódicas de regresión para garantizar que las funciones del sistema funcionan, que se informa de la aparición de fallos en las funciones (fiabilidad) y que los datos personales almacenados no pueden corromperse por medio de un mal funcionamiento del sistema (integridad).