Esta mercantil comercializa una serie de servicios o soluciones digitales, incluidas en el Programa KIT Digital o de forma independiente, de entre los cuales, los siguientes podrán suponer acceso a datos por parte de R: Ecommerce, Gestión de Redes Sociales, Factura electrónica, Web profesional y Pack Online.
Para los servicios con acceso a datos, y solo para ellos, R pasará a tener la consideración de Encargado del Tratamiento, de conformidad a lo recogido en el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas (en adelante, “RGPD”), Encargo que se regularán mediante el preceptivo contrato entre la partes.
Datos a tratar: datos identificativos y de contacto, datos financieros, de contratación de productos y servicios, y otros relacionados con los Clientes y Clientes potenciales del CLIENTE, o de un tercero para el que este ejerza de Encargado del Tratamiento en base al preceptivo contrato.
Tratamientos: Registro, Almacenamiento, Estructuración, Destrucción, Consulta y Copia de Seguridad.
Subencargados:
- BaseKit: Ecommerce
- Billin: Factura electrónica
- QdQ Media S.A.U.: Web Profesional
- Metricool: Gestión de Redes Sociales
Las medidas de seguridad que R implementa, de forma estándar, en todos estos servicios, son las siguientes:
Organización de la seguridad de la información
Responsabilidad en materia de seguridad. R ha designado un responsable de seguridad, encargado de coordinar y asegurar el cumplimiento de las políticas y procedimientos de seguridad. Además, ha nombrado un Delegado de Protección de Datos, encargado de coordinar y asegurar el cumplimiento en materia de Protección de Datos de todos los servicios y productos de la compañía.
Roles y responsabilidades en materia de seguridad. Existe una definición de roles y responsabilidades de cada puesto de trabajo que pueda implicar acceso a los datos del cliente, que incluye todo lo relativo a seguridad y privacidad. Además, el personal de R que tenga acceso a los Datos del Cliente estará sujeto a obligaciones de confidencialidad.
Documentación en materia de seguridad. Existen procedimientos documentados y normativa en materia de seguridad.
Seguridad en relación con los recursos humanos
Normativa de uso de equipamiento y seguridad de la información. Indica las normas de uso de los equipos informáticos, móviles y sistemas de información, y es de obligado conocimiento por parte de todo el personal que pueda llegar a tratar datos del cliente. La finalidad de esta normativa es asegurar un buen uso de los sistemas de información y minimizar los riesgos en cuanto a seguridad.
Formación en materia de seguridad. Todo el personal que tenga acceso a datos del cliente ha sido formado adecuadamente para el mantenimiento de las mejores prácticas en cuanto a seguridad y privacidad, así como en los procedimientos de seguridad aplicables, en función de las tareas que requiera su puesto de trabajo. Así mismo, el personal está informado sobre las posibles consecuencias del incumplimiento de procedimientos y normas relativos a seguridad.
Seguridad física y del entorno
Acceso físico a las instalaciones. R únicamente permite que personas físicas autorizadas puedan acceder las instalaciones en que se ubican los sistemas de información que tratan Datos del Cliente.
Soportes físicos. R conserva un registro de los soportes físicos entrantes y salientes que contienen Datos del Cliente y que sean gestionados por R, incluyendo el tipo de soporte, el remitente/receptor autorizado, la fecha y hora.
Protección frente a interrupciones. R emplea una variedad de sistemas estándares en la industria como protección frente a pérdidas de datos debidas a fallos en el suministro eléctrico, así como protección frente a incendios.
Eliminación. R emplea procesos estándares en la industria para eliminar Datos del Cliente que ya no son necesarios tanto Datos Personales como cualquier otro tipo de dato o activo del cliente.
Gestión de operaciones
Software malicioso. R tiene controles contra el malware en su infraestructura para ayudar a evitar que el software malicioso obtenga acceso no autorizado a los Datos del Cliente.
Datos fuera del perímetro.
a) Los Datos del Cliente que se transmiten sobre redes públicas son encriptados, en los accesos responsabilidad de R.
b) R restringe el acceso a los Datos del Cliente contenidos en soportes físicos que abandonan sus instalaciones, en aquellos casos bajo su responsabilidad (por ejemplo, a través de la custodia de dichos soportes).
Registro de sucesos. Los sistemas de tratamiento de datos gestionados por R disponen de un sistema de registro de eventos (logs) que se analizan en caso necesario.
Copias temporales. En caso de que sea necesario generar copias temporales de los datos del Cliente, R se compromete a aplicar las mismas medidas de seguridad que a los datos originales, y a destruirlas en cuanto dejen de ser necesarias.
Pruebas. R se compromete a, en caso de ser necesario para la prestación del servicio, a no realizar pruebas con datos reales, o en caso de que sea imprescindible, hacerlo a través de una copia temporal de los mismos a los que aplicará las medidas del punto anterior.
Control de accesos
Política de acceso. R mantiene un registro de los privilegios de seguridad que tienen las personas físicas que disponen de acceso a los Datos del Cliente.
Autorización de acceso.
a) R mantiene y actualiza un registro del personal que está autorizado a acceder a los sistemas de R que contienen Datos del Cliente.
b) R desactiva las credenciales propias de autenticación que no han sido utilizadas durante un periodo de tiempo que no excede de seis meses.
c) R identifica qué personal puede otorgar, alterar o cancelar el acceso autorizado a datos y recursos.
d) R dispone de sistemas que le permiten identificar las personas autorizadas que han accedido a sus sistemas.
Menor privilegio.
a) Al personal de soporte técnico únicamente se le permite tener acceso a los Datos del Cliente cuando lo necesita.
b) R restringe el acceso a los Datos del Cliente únicamente a aquellas personas físicas que lo precisan para ejecutar sus funciones laborales.
Integridad y confidencialidad.
a) R instruye a sus empleados a que desactiven las sesiones administrativas cuando abandonen las instalaciones o cuando los ordenadores se dejen sin atención por cualquier otro motivo.
b) R almacena las contraseñas de un modo que las hace ininteligibles.
Autenticación.
a) R emplea prácticas estándares en la industria para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información.
b) R requiere que las contraseñas se renueven con regularidad y tengan, al menos, una longitud de 8 caracteres.
c) R se asegura de que los identificadores desactivados o expirados no sean otorgados a otras personas físicas.
Gestión de incidencias de seguridad de la información
Proceso de respuesta a incidencias. R tiene un procedimiento de respuesta ante incidentes basado en estándares y en mejores prácticas, que nos asegure la capacidad de detectar y actuar ante brechas de seguridad. Que incluye apartados específicos para el caso en que estas brechas supongan violaciones de datos personales responsabilidad del Cliente..
Monitorización del servicio. R dispone de un proceso de monitorización que verifica el estado de los distintos servicios.
Sólo si el servicio incluye back-up o el cliente lo ha contratado: Procedimientos de recuperación de datos.
Copia múltiple de los datos del Cliente, desde las que puedan recuperarse en caso de pérdida. Si el Cliente así lo solicita, citadas copias podrán ser cifradas, pasando el Cliente a ser el único responsable de la custodia de las claves de cifrado, que R no conocerá, y de realizar las operaciones de recuperación de datos que le resulten necesarias.
Almacenamiento de las copias de los Datos del Cliente y los procedimientos de recuperación de datos en un lugar diferente de aquel donde se ubica la copia primaria.
R ha implantado procedimientos específicos que regulan el acceso a las copias de los Datos del Cliente.
R revisa los procedimientos de recuperación de datos y su correcto funcionamiento al menos una vez cada seis meses.
R registra los trabajos de restauración de datos que realice.