Esta mercantil comercializa unha serie de servizos ou solucións dixitais, incluídas no Programa KIT Dixital ou, de forma independente, de entre os cales os seguintes poderán supor acceso a datos por parte de R: Ecommerce, Xestión de Redes Sociais, Factura electrónica, Web profesional e Pack Online.

Para os servizos con acceso a datos, e só para eles, R pasará a ter a consideración de Encargado do Tratamento, de conformidade co recollido no artigo 28 do Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, de 27 de abril de 2016, relativo á protección das persoas físicas (en diante, “RXPD”), encarga que se regulará mediante o preceptivo contrato entre as partes.

Datos a tratar: datos identificativos e de contacto, datos financeiros, de contratación de produtos e servizos, e outros relacionados cos Clientes e Clientes potenciais do CLIENTE, ou dun terceiro para o que este exerza de Encargado do Tratamento en base ao preceptivo contrato.

Tratamentos: Rexistro, Almacenamento, Estruturación, Destrución, Consulta e Copia de Seguridade.

Subencargados:

• BaseKit: Ecommerce
• Billin: Factura electrónica
• QdQ Media S.A.U.: Web Profesional
• Metricool: Xestión de Redes Sociais

As medidas de seguridade que R implanta, de forma estándar, en todos estes servizos, son as seguintes:

Organización da seguridade da información

• Responsabilidade en materia de seguridade. R designou un responsable de seguridade, encargado de coordinar e asegurar o cumprimento das políticas e procedementos de seguridade. Ademais, nomeou un Delegado de Protección de Datos, encargado de coordinar e asegurar o cumprimento en materia de Protección de Datos de todos os servizos e produtos da compañía.

• Roles e responsabilidades en materia de seguridade. Existe unha definición de roles e responsabilidades de cada posto de traballo que poida implicar acceso aos datos do cliente, que inclúe todo o relativo a seguridade e privacidade. Ademais, o persoal de R que teña acceso aos Datos do Cliente estará suxeito a obrigacións de confidencialidade.

• Documentación en materia de seguridade. Existen procedementos documentados e normativa en materia de seguridade.

Seguridade en relación cos recursos humanos

• Normativa de uso de equipamento e seguridade da información. Indica as normas de uso dos equipos informáticos, móbiles e sistemas de información, e é de obrigado coñecemento por parte de todo o persoal que poida chegar a tratar datos do cliente. A finalidade desta normativa é asegurar un bo uso dos sistemas de información e minimizar os riscos en canto a seguridade.

• Formación en materia de seguridade. Todo o persoal que teña acceso a datos do cliente foi formado adecuadamente para o mantemento das mellores prácticas en canto a seguridade e privacidade, así como nos procedementos de seguridade aplicables, en función das tarefas que requira o seu posto de traballo. Así mesmo, o persoal está informado sobre as posibles consecuencias do incumprimento de procedementos e normas relativos a seguridade.

Seguridade física e da contorna

• Acceso físico ás instalacións. R unicamente permite que persoas físicas autorizadas poidan acceder ás instalacións en que se sitúan os sistemas de información que tratan Datos do Cliente.

• Soportes físicos. R conserva un rexistro dos soportes físicos entrantes e saíntes que conteñen Datos do Cliente e que sexan xestionados por R, incluíndo o tipo de soporte, o remitente/receptor autorizado, a data e hora.

• Protección fronte a interrupcións. R emprega unha variedade de sistemas estándares na industria como protección fronte a perdas de datos debidas a fallos na subministración eléctrica, así como protección fronte a incendios.

• Eliminación. R emprega procesos estándares na industria para eliminar Datos do Cliente que xa non son necesarios, tanto Datos Persoais como calquera outro tipo de dato ou activo do cliente.

Xestión de operacións

• Software malicioso. R ten controis contra o malware na súa infraestrutura para axudar a evitar que o software malicioso obteña acceso non autorizado aos Datos do Cliente.

• Datos fóra do perímetro.

  a) Os Datos do Cliente que se transmiten sobre redes públicas son cifrados, nos accesos responsabilidade de R. b) R restrinxe o acceso aos Datos do Cliente contidos en soportes físicos que abandonan as súas instalacións, naqueles casos baixo a súa responsabilidade (por exemplo, a través da custodia dos devanditos soportes).

• Rexistro de sucesos. Os sistemas de tratamento de datos xestionados por R dispoñen dun sistema de rexistro de eventos (logs) que se analizan en caso necesario.

• Copias temporais. No caso de que sexa necesario xerar copias temporais dos datos do Cliente, R comprométese a aplicar as mesmas medidas de seguridade que aos datos orixinais, e a destruílas en canto deixen de ser necesarias.

• Probas. R comprométese a, en caso de ser necesario para a prestación do servizo, non realizar probas con datos reais ou, no caso de que sexa imprescindible, facelo a través dunha copia temporal dos mesmos aos que aplicará as medidas do punto anterior.

Control de accesos

• Política de acceso. R mantén un rexistro dos privilexios de seguridade que teñen as persoas físicas que dispoñen de acceso aos Datos do Cliente.

• Autorización de acceso.

  a) R mantén e actualiza un rexistro do persoal que está autorizado a acceder aos sistemas de R que conteñen Datos do Cliente. b) R desactiva as credenciais propias de autenticación que non foron utilizadas durante un período de tempo que non excede de seis meses. c) R identifica que persoal pode outorgar, alterar ou cancelar o acceso autorizado a datos e recursos. d) R dispón de sistemas que lle permiten identificar as persoas autorizadas que accederon aos seus sistemas.

• Menor privilexio.

  a) Ao persoal de soporte técnico unicamente se lle permite ter acceso aos Datos do Cliente cando o necesita. b) R restrinxe o acceso aos Datos do Cliente unicamente a aquelas persoas físicas que o precisan para executar as súas funcións laborais.

• Integridade y confidencialidade.

  a) R instrúe os seus empregados a que desactiven as sesións administrativas cando abandonen as instalacións ou cando os ordenadores se deixen sen atención por calquera outro motivo. b) R almacena os contrasinais dun modo que os fai inintelixibles.

• Autenticación.

  a) R emprega prácticas estándares na industria para identificar e autenticar os usuarios que tentan acceder aos sistemas de información. b) R require que os contrasinais se renoven con regularidade e teñan, polo menos, unha lonxitude de 8 caracteres. c) R asegúrase de que os identificadores desactivados ou expirados non sexan outorgados a outras persoas físicas.

Xestión de incidencias de seguridade da información

• Proceso de resposta a incidencias. R ten un procedemento de resposta ante incidentes baseado en estándares e en mellores prácticas, que nos asegure a capacidade de detectar e actuar ante brechas de seguridade. Que inclúe seccións específicas para o caso en que estas brechas supoñan violacións de datos persoais responsabilidade do Cliente.

• Monitorización do servizo. R dispón dun proceso de monitorización que verifica o estado dos distintos servizos.

Só se o servizo inclúe back-up ou o cliente o contratou: Procedementos de recuperación de datos.

• Copia múltiple dos datos do Cliente, dende as que poidan recuperarse en caso de perda. Se o Cliente así o solicita, as citadas copias poderán ser cifradas, pasando o Cliente a ser o único responsable da custodia das claves de cifrado, que R non coñecerá, e de realizar as operacións de recuperación de datos que lle resulten necesarias.

• Almacenamento das copias dos Datos do Cliente e os procedementos de recuperación de datos nun lugar diferente daquel onde se sitúa a copia primaria.

• R implantou procedementos específicos que regulan o acceso ás copias dos Datos do Cliente.

• R revisa os procedementos de recuperación de datos e o seu correcto funcionamento polo menos unha vez cada seis meses.

• R rexistra os traballos de restauración de datos que realice

Englóbase nesta epígrafe as condicións particulares en canto á protección de datos persoais e medidas de seguridade daqueles servizos que supoñan a operación e mantemento de equipamento, físico ou virtual, de comunicacións como central virtual, fax virtual, centrais físicas, etc.

Datos para tratar: Datos identificativos, de contacto, tráfico de telecomunicacións e IP pública de Empregados, Clientes ou Colaboradores da Empresa.

Tratamentos para realizar: Conservación, Consulta, Comunicación por transmisión e Supresión.

Subencargados:

• ZTE España S.L.U. -> Soporte técnico avanzado

Medidas de seguridade

O Operador implantou e manterá en vigor axeitadas medidas técnicas e organizativas, controis internos e rutinas de seguridade da información dirixidas a protexer os Datos do Cliente fronte a actos accidentais, ilícitos ou non autorizados de acceso, revelación, alteración, perda ou destrución, segundo se describe a continuación:

Organización da seguridade da información

• Responsabilidade en materia de seguridade. O Operador designou un responsable de seguridade, encargado de coordinar e asegurar o cumprimento das políticas e procedementos de seguridade. Ademais, nomeou un Delegado de Protección de Datos, encargado de coordinar e asegurar o cumprimento en materia de Protección de Datos de todos os servizos e produtos da compañía.
• Roles e responsabilidades en materia de seguridade. Existe unha definición de roles e responsabilidades de cada posto de traballo que poida implicar acceso aos datos do cliente, que inclúe todo o relativo a seguridade e privacidade. Ademais, o persoal do Operador que teña acceso aos Datos do Cliente estará suxeito a obrigas de confidencialidade.
• Documentación en materia de seguridade. Existen procedementos documentados e normativa en materia de seguridade.

Seguridade en relación cos recursos humanos

• Normativa de uso de equipamento e seguridade da información. Indica as normas de uso dos equipos informáticos, móbiles e sistemas de información, e é de obrigado coñecemento por parte de todo o persoal que poida chegar a tratar datos do cliente. A finalidade desta normativa é asegurar un bo uso dos sistemas de información e minimizar os riscos en canto a seguridade.
• Formación en materia de seguridade. Todo o persoal que teña acceso a datos do cliente foi formado adecuadamente para o mantemento das mellores prácticas en canto a seguridade e privacidade, así como nos procedementos de seguridade aplicables, en función das tarefas que requira o seu posto de traballo. Así mesmo, o persoal está informado sobre as posibles consecuencias do incumprimento de procedementos e normas relativos a seguridade.

Seguridade física e da contorna

• Acceso físico ás instalacións. O Operador unicamente permite que persoas físicas autorizadas poidan acceder ás instalacións en que se sitúan os sistemas de información que tratan Datos do Cliente.
• Protección fronte a interrupcións. O Operador emprega unha variedade de sistemas estándares na industria como protección fronte a perdas de datos debidas a fallos na subministración eléctrica, así como protección fronte a incendios
• Eliminación. O Operador emprega procesos estándares na industria para eliminar Datos do Cliente que xa non son necesarios, tanto Datos Persoais como calquera outro tipo de dato ou activo do cliente.

Xestión de operacións

• Software malicioso. O Operador ten controis contra o malware na súa infraestrutura para axudar a evitar que o software malicioso obteña acceso non autorizado aos Datos do Cliente.
• Rexistro de sucesos. Os sistemas de tratamento de datos xestionados polo Operador dispoñen dun sistema de rexistro de eventos (logs) que se analizan en caso necesario.

Control de accesos

• Os sistemas de información e compoñentes que se utilizan para proporcionar os servizos ao Cliente contan con capacidades para establecer as prácticas estándares na industria para identificar e autenticar os usuarios que tentan acceder aos mesmos. Será responsabilidade do Cliente o correcto uso destas capacidades en canto a aqueles usuarios e/ou credenciais de acceso que se lle faciliten para a administración e utilización destes servizos pola súa banda. Estas medidas recollen, entre outras, as seguintes: diferentes perfís de acceso, sistemas que permiten identificar ás persoas autorizadas que accederon, contrasinais almacenados de forma inintelixible, etc.
• En canto aos accesos de usuarios administradores xestionados por MASMOVIL Empresa, esta comprométese a cumprir coas seguintes medidas de seguridade:
  • Política de menor privilexio: só se permite o acceso a aquel persoal que polas súas funcións laborais o precise, e só cando o precise.
  • Rexistro de privilexios de seguridade concedido a cada persoa física con acceso.
  • Política con identificación do persoal que pode outorgar, alterar ou cancelar a autorización de acceso.
  • Desactivación das credenciais de acceso que non foron utilizadas durante un período de tempo que non excede de seis meses.
  • Instrución aos usuarios administradores para que desactiven as sesións administrativas cando deixen de utilizalas ou se as deixan sen atención.

Xestión de incidencias de seguridade da información

• Proceso de resposta a incidencias. O Operador ten un procedemento de resposta ante incidentes baseado en estándares e en mellores prácticas, que nos asegure a capacidade de detectar e actuar ante brechas de seguridade. Que inclúe seccións específicas para o caso en que estas brechas supoñan violacións de datos persoais responsabilidade do Cliente.
• Monitorización do servizo. O Operador dispón dun proceso de seguimento que verifica o estado dos distintos servizos.

Englóbanse nesta epígrafe as condicións particulares en canto a protección de datos e medidas de seguridade ofertadas para os servizos ou paquetes de servizos destinados á ciberseguridade na rede do Cliente e na súa saída a Internet, como Ciberseguridade, Scudo, Firewall Virtual, WAF, MDM, antivirus con consola centralizada, servizos de análises de vulnerabilidades, consultoría, etc.

As condicións particulares para o servizo de copia de seguridade na nube atópanse recollidas na sección de Solucións Cloud.

Datos para tratar: Datos identificativos, de contacto, tráfico de telecomunicacións e IP pública de Empregados e Colaboradores da Empresa.

Tratamentos para realizar: Recollida, Rexistro, Consulta e Supresión.

Subencargados do tratamento:

• Fractalia Systems S.L.
• S2 GRUPO SOLUCIONES DE SEGURIDAD, S.L.U.
• INNOVACIONES TECNOLÓGICAS DEL SUR S.L.

Medidas de seguridade

O Operador implantou e manterá en vigor axeitadas medidas técnicas e organizativas, controis internos e rutinas de seguridade da información dirixidas a protexer os Datos do Cliente fronte a actos accidentais, ilícitos ou non autorizados de acceso, revelación, alteración, perda ou destrución, segundo se describe a continuación:

Organización da seguridade da información

• Responsabilidade en materia de seguridade. O Operador designou un responsable de seguridade, encargado de coordinar e asegurar o cumprimento das políticas e procedementos de seguridade. Ademais, nomeou un Delegado de Protección de Datos, encargado de coordinar e asegurar o cumprimento en materia de Protección de Datos de todos os servizos e produtos da compañía.
• Roles e responsabilidades en materia de seguridade. Existe unha definición de roles e responsabilidades de cada posto de traballo que poida implicar acceso aos datos do cliente, que inclúe todo o relativo a seguridade e privacidade. Ademais, o persoal do Operador que teña acceso aos Datos do Cliente estará suxeito a obrigas de confidencialidade.
• Documentación en materia de seguridade. Existen procedementos documentados e normativa en materia de seguridade.

Seguridade en relación cos recursos humanos

• Normativa de uso de equipamento e seguridade da información. Indica as normas de uso dos equipos informáticos, móbiles e sistemas de información, e é de obrigado coñecemento por parte de todo o persoal que poida chegar a tratar datos do cliente. A finalidade desta normativa é asegurar un bo uso dos sistemas de información e minimizar os riscos en canto a seguridade.
• Formación en materia de seguridade. Todo o persoal que teña acceso a datos do cliente foi formado adecuadamente para o mantemento das mellores prácticas en canto a seguridade e privacidade, así como nos procedementos de seguridade aplicables, en función das tarefas que requira o seu posto de traballo. Así mesmo, o persoal está informado sobre as posibles consecuencias do incumprimento de procedementos e normas relativos a seguridade.

Seguridade física e da contorna

• Acceso físico ás instalacións. O Operador unicamente permite que persoas físicas autorizadas poidan acceder ás instalacións en que se sitúan os sistemas de información que tratan Datos do Cliente.
• Protección fronte a interrupcións. O Operador emprega unha variedade de sistemas estándares na industria como, protección fronte a perdas de datos debidas a fallos na subministración eléctrica, así como protección fronte a incendios
• Eliminación. O Operador emprega procesos estándares na industria para eliminar Datos do Cliente que xa non son necesarios, tanto Datos Persoais como calquera outro tipo de dato ou activo do cliente.

Xestión de operacións

• Software malicioso. O Operador ten controis contra o malware na súa infraestrutura para axudar a evitar que o software malicioso obteña acceso non autorizado aos Datos do Cliente.
• Datos fóra do perímetro: o Operador encripta os Datos do Cliente que se transmiten sobre redes públicas, nos accesos da súa responsabilidade
• Rexistro de sucesos. Os sistemas de tratamento de datos xestionados polo Operador dispoñen dun sistema de rexistro de eventos (logs) que se analizan en caso necesario.

Control de accesos

• Política de acceso. O Operador mantén un rexistro dos privilexios de seguridade que teñen as persoas físicas que dispoñen de acceso aos Datos do Cliente.

• Autorización de acceso

  • O Operador mantén e actualiza un rexistro do persoal que está autorizado a acceder aos sistemas do Operador que conteñen Datos do Cliente.
  • O Operador desactiva as credenciais propias de autenticación que non foron utilizadas durante un período de tempo que non excede de seis meses.
  • O Operador identifica que persoal pode outorgar, alterar ou cancelar o acceso autorizado a datos e recursos.
  • O Operador dispón de sistemas que lle permiten identificar as persoas autorizadas que accederon aos sistemas do Operador.

• Menor privilexio

  • Ao persoal de soporte técnico unicamente se lle permite ter acceso aos Datos do Cliente cando o necesita.
  • O Operador restrinxe o acceso aos Datos do Cliente unicamente a aquelas persoas físicas que o precisan para executar as súas funcións laborais.

• Integridade e confidencialidade

  • O Operador instrúe os seus empregados a que desactiven as sesións administrativas cando abandonen as instalacións ou cando os ordenadores se deixen sen atención por calquera outro motivo.
  • O Operador almacena os contrasinais dun modo que os fai inintelixibles.

• Autenticación

  • O Operador emprega prácticas estándares na industria para identificar e autenticar os usuarios que tentan acceder aos sistemas de información.
  • O Operador require que os contrasinais se renoven con regularidade e teñan, polo menos, unha lonxitude de 8 caracteres.
  • O Operador asegúrase de que os identificadores desactivados ou expirados non sexan outorgados a outras persoas físicas.

Xestión de incidencias de seguridade da información

• Proceso de resposta a incidencias. O Operador ten un procedemento de resposta ante incidentes baseado en estándares e en mellores prácticas, que nos asegure a capacidade de detectar e actuar ante brechas de seguridade. Que inclúe seccións específicas para o caso en que estas brechas supoñan violacións de datos persoais responsabilidade do Cliente.
• Seguimento do servizo. O Operador dispón dun proceso de seguimento que verifica o estado dos distintos servizos.

Trátase de servizos destinados a que o Cliente poida proporcionar accesos wifi seguros a usuarios rexistrados, cunha xestión centralizada dos mesmos, así como para a explotación dos datos obtidos da mesma.

Datos para tratar: Datos identificativos, datos de contacto, tráfico de telecomunicacións e Ip pública de usuarios do servizo wifi prestado pola Empresa.

Tratamentos para realizar: Recollida, Rexistro, Conservación, Consulta, Comunicación por transmisión e Supresión.

Subencargados do Tratamento:

• Tecnologías Plexus S.L.

Medidas de seguridade:

O Operador implantou e manterá en vigor axeitadas medidas técnicas e organizativas, controis internos e rutinas de seguridade da información dirixidas a protexer os Datos do Cliente fronte a actos accidentais, ilícitos ou non autorizados de acceso, revelación, alteración, perda ou destrución.

Máis concretamente, o centro de servizos encargado da operación da plataforma que soporta o servizo de wifi que se presta ao cliente ten a certificación de seguridade ISO 27001 que cobre o servizo de soporte, a operación do sistema de control e o soporte das comunicacións. Cumprindo con todas as medidas de seguridade e controis necesarios para a obtención de citada certificación.

Ademais, implantáronse as seguintes medidas de seguridade específicas para os servizos de Portal Cativo e Plataforma de Analítica de Datos. Estas unicamente aplicarán no caso de que o cliente contrate, ou contrate no futuro, estes servizos:

• Plataforma de Analítica de Datos – TRAQUS

  • Solicitude de autorización de uso de datos para aplicación
  • Almacenamento de datos de usuario encriptados en base a un algoritmo aleatorio con base de tempo rotante que garante a irreversibilidade de datos
  • Protección de base de datos con contrasinal privado
  • Dereitos ARSOLP en base a URL privada na aplicación

• Plataforma de portal cativo – WIFIPLEX

  • Almacenamento de contrasinais encriptadas
  • Protección de base de datos con contrasinal privado
  • Dereitos ARSOLP en base a URL privada na aplicación
  • Sistema de encriptación de disco duro
  • Rexistro completo de logs de usuarios conectados
  • Control de perfís de acceso

Trátase de solucións para empresas prestadas dende servizos Cloud propios do Operador, como servizos de computación na nube (DataCenter virtual), aloxamento de servidores, aloxamento web e/ou de base de datos, almacenamento de datos, copias de seguridade remotas, etc.

Datos para tratar:

No caso deste tipo de servizos, estes implicarán o acceso a datos persoais só no caso de que o Cliente o utilice para almacenar e/ou tratar este tipo de datos. É por iso que o Cliente deberá comunicar de xeito fidedigna ao Operador o tratamento de Datos Persoais antes do comezo do mesmo, tanto no caso de tratarse de datos responsabilidade do Cliente como de terceiros para os que este exerza como encargado do Tratamento segundo o preceptivo contrato co Responsable dos mesmos.

O Cliente deixará indemne o Operador ante calquera sanción ou responsabilidade debida á non regularización correcta da encarga do tratamento pola non comunicación pola súa banda da existencia dun Tratamento de Datos Persoais.

Tratamentos para realizar: Conservación, Comunicación por transmisión, Supresión e Copia de seguridade (se está contratada)..

Subencargados do Tratamento:

• Grupo Corporativo GFI Informática S.A. 🡪 Soporte técnico avanzado
• Hewlett-Packard Española, S.A. 🡪 Soporte Hardware servidores e Cabinas de almacenamento
• Sistemas Avanzados de Tecnología, S.A. 🡪 Soporte a servizos de interconexión de rede e firewall
• Internacional periféricos e memorias, S.L.U. 🡪 Soporte técnico das cabinas de almacenamento
• Axians S.A. 🡪 Mantemento de interconexión de rede e servidores
• Fujitsu 🡪 Mantemento de sistemas de almacenamento
• Synology Inc. 🡪 Mantemento de sistemas de almacenamento
• Avanti21, Sistemas y Telecomunicaciones, S.L.🡪 Mantemento do servizo de Backup
• Indra, S.A. 🡪 Soporte avanzado de servizos de computación na nube e do servizo de Hosting
• Evalice Internet S.L. 🡪 Soporte experto para servizos de hosting con xestión Plex

Medidas de seguridade:

O Operador implantou e manterá en vigor axeitadas medidas técnicas e organizativas, controis internos e rutinas de seguridade da información dirixidas a protexer os Datos do Cliente fronte a actos accidentais, ilícitos ou non autorizados de acceso, revelación, alteración, perda ou destrución, segundo se describe a continuación:

Organización da seguridade da información

• Responsabilidade en materia de seguridade. O Operador designou un responsable de seguridade, encargado de coordinar e asegurar o cumprimento das políticas e procedementos de seguridade. Ademais, nomeou un Delegado de Protección de Datos, encargado de coordinar e asegurar o cumprimento en materia de Protección de Datos de todos os servizos e produtos da compañía.
• Roles e responsabilidades en materia de seguridade. Existe unha definición de roles e responsabilidades de cada posto de traballo que poida implicar acceso aos datos do cliente, que inclúe todo o relativo a seguridade e privacidade. Ademais, o persoal do Operador que teña acceso aos Datos do Cliente estará suxeito a obrigas de confidencialidade.
• Documentación en materia de seguridade. Existen procedementos documentados e normativa en materia de seguridade.

Seguridade en relación cos recursos humanos

• Normativa de uso de equipamento e seguridade da información. Indica as normas de uso dos equipos informáticos, móbiles e sistemas de información, e é de obrigado coñecemento por parte de todo o persoal que poida chegar a tratar datos do cliente. A finalidade desta normativa é asegurar un bo uso dos sistemas de información e minimizar os riscos en canto a seguridade.
• Formación en materia de seguridade. Todo o persoal que teña acceso a datos do cliente foi formado adecuadamente para o mantemento das mellores prácticas en canto a seguridade e privacidade, así como nos procedementos de seguridade aplicables, en función das tarefas que requira o seu posto de traballo. Así mesmo, o persoal está informado sobre as posibles consecuencias do incumprimento de procedementos e normas relativos a seguridade.

Seguridade física e da contorna

• Acceso físico ás instalacións. O Operador unicamente permite que persoas físicas autorizadas poidan acceder ás instalacións en que se sitúan os sistemas de información que tratan Datos do Cliente.
• Soportes físicos. O Operador conserva un rexistro dos soportes físicos entrantes e saíntes que conteñen Datos do Cliente e que sexan xestionados polo Operador, incluíndo o tipo de soporte, o remitente/receptor autorizado, a data e hora.
• Protección fronte a interrupcións. O Operador emprega unha variedade de sistemas estándares na industria, como protección fronte a perdas de datos debidas a fallos na subministración eléctrica, así como protección fronte a incendios
• Eliminación. O Operador emprega procesos estándares na industria para eliminar Datos do Cliente que xa non son necesarios, tanto Datos Persoais como calquera outro tipo de dato ou activo do cliente.

Xestión de operacións

• Software malicioso. O Operador ten controis contra o malware na súa infraestrutura para axudar a evitar que o software malicioso obteña acceso non autorizado aos Datos do Cliente.
• Datos fóra do perímetro.
  • O Operador encripta os Datos do Cliente que se transmiten sobre redes públicas, nos accesos da súa responsabilidade
  • O Operador restrinxe o acceso aos Datos do Cliente contidos en soportes físicos que abandonan as súas instalacións, naqueles casos baixo a súa responsabilidade (por exemplo, a través da custodia dos devanditos soportes
• Rexistro de sucesos. Os sistemas de tratamento de datos xestionados polo Operador dispoñen dun sistema de rexistro de eventos (logs) que se analizan en caso necesario.
• Copias temporais. No caso de que sexa necesario xerar copias temporais dos datos do Cliente, o Operador comprométese a aplicar as mesmas medidas de seguridade que aos datos orixinais, e a destruílas en canto deixen de ser necesarias.
• Probas. O Operador comprométese a, en caso de ser necesario para a prestación do servizo, a non realizar probas con datos reais ou, no caso de que sexa imprescindible, facelo a través dunha copia temporal dos mesmos aos que aplicará as medidas do punto anterior.

Control de accesos

• Política de acceso. O Operador mantén un rexistro dos privilexios de seguridade que teñen as persoas físicas que dispoñen de acceso aos Datos do Cliente.
• Autorización de acceso
  • O Operador mantén e actualiza un rexistro do persoal que está autorizado a acceder aos sistemas do Operador que conteñen Datos do Cliente.
  • O Operador desactiva as credenciais propias de autenticación que non foron utilizadas durante un período de tempo que non excede de seis meses.
  • O Operador identifica que persoal pode outorgar, alterar ou cancelar o acceso autorizado a datos e recursos.
  • O Operador dispón de sistemas que lle permiten identificar as persoas autorizadas que accederon aos sistemas do Operador.
• Menor privilexio
  • Ao persoal de soporte técnico unicamente se lle permite ter acceso aos Datos do Cliente cando o necesita.
  • O Operador restrinxe o acceso aos Datos do Cliente unicamente a aquelas persoas físicas que o precisan para executar as súas funcións laborais.
• Integridade e confidencialidade
  • O Operador instrúe os seus empregados a que desactiven as sesións administrativas cando abandonen as instalacións ou cando os ordenadores se deixen sen atención por calquera outro motivo.
  • O Operador almacena os contrasinais dun modo que os fai inintelixibles.
• Autenticación
  • O Operador emprega prácticas estándares na industria para identificar e autenticar os usuarios que tentan acceder aos sistemas de información.
  • O Operador require que os contrasinais se renoven con regularidade e teñan, polo menos, unha lonxitude de 8 caracteres.
  • O Operador asegúrase de que os identificadores desactivados ou expirados non sexan outorgados a outras persoas físicas.

Xestión de incidencias de seguridade da información

• Proceso de resposta a incidencias. O Operador ten un procedemento de resposta ante incidentes baseado en estándares e en mellores prácticas, que nos asegure a capacidade de detectar e actuar ante brechas de seguridade. Que inclúe seccións específicas para o caso en que estas brechas supoñan violacións de datos persoais responsabilidade do Cliente.
• Seguimento do servizo. O Operador dispón dun proceso de seguimento que verifica o estado dos distintos servizos.

Só se o servizo inclúe copia de seguridade ou o contratou cliente: Recuperación de datos.

• De maneira regular e, en todo caso, cunha frecuencia non inferior a unha vez á semana (salvo que os Datos do Cliente non se actualizaran nese período), o Operador manterá múltiples copias dos Datos do Cliente, dende as que poidan recuperarse os Datos do Cliente.
• Se o Cliente así o solicita, as citadas copias poderán ser cifradas, pasando o Cliente a ser o único responsable da custodia das claves de cifrado, que o operador non coñecerá, e de realizar as operacións de recuperación de datos que lle resulten necesarias. O Cliente declara coñecer que unha vez activada a opción de Back-up cifrado, o Operador non poderá ter acceso aos datos do Cliente e que os citados datos se perderán se o Cliente perde as súas claves de cifrado.
• O Operador almacena as copias dos Datos do Cliente e os procedementos de recuperación de datos nun lugar diferente daquel onde se sitúa o equipo de computación primario que trata os Datos do Cliente.
• O Operador implantou procedementos específicos que regulan o acceso ás copias dos Datos do Cliente.
• O Operador revisa os procedementos de recuperación de datos e o seu correcto funcionamento polo menos unha vez cada seis meses.
• O Operador rexistra os traballos de restauración de datos executados directamente por este, incluíndo a persoa responsable, a descrición dos datos restaurados e que datos (no seu caso) tiveron que ser introducidos manualmente no procedemento de recuperación de datos.