Imagen
TOMS
Apéndice 1 - Medidas de protección técnicas y organizativas
(Seguridad del tratamiento de acuerdo con el artículo 32 del GDPR)
Preámbulo
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y el tipo, el alcance, las circunstancias y los fines del tratamiento, así como la probabilidad variable de que se produzca y la gravedad del riesgo para los derechos y libertades de las personas físicas, el presente apéndice especifica las medidas técnicas y organizativas de protección, a las que se refiere el artículo 32 del Reglamento de protección de datos de la UE ("RGPD"), que se derivan del tratamiento de datos subyacente con el fin de garantizar un nivel adecuado de protección de datos para el riesgo.
Este apéndice se aplicará a todas las actividades en las que los empleados del encargado del tratamiento (Contratista) puedan entrar en contacto con datos personales o de otro tipo del Organismo Responsable (Autoridad Contratante).
§1 Las medidas de seguridad técnicas y organizativas para garantizar un nivel adecuado de protección de datos.
(1) Medidas para garantizar la confidencialidad permanente:
Los sistemas operativos relevantes de meetyoo se encuentran en un centro de datos certificado y especialmente diseñado de alta seguridad en Berlín para el funcionamiento de la infraestructura informática.
meetyoo está certificado según la norma ISO 27001. El certificado actual se puede encontrar en el siguiente enlace: https://www.certipedia.com/quality_marks/9105037096?locale=en
Control de acceso:
Sistema de control de acceso al centro de datos meetyoo:
El acceso a las zonas del centro de datos arrendado se realiza mediante un chip de acceso en combinación con un código PIN. Los chips de acceso son personales y se asignan específicamente a los empleados autorizados por su nombre. Además, el acceso a las zonas debe registrarse previamente.
Los chips de acceso sólo se entregan a empleados formados y, al igual que el uso de los chips, se registran. El personal externo sólo puede entrar en las zonas del centro de datos bajo la supervisión constante de un empleado de meetyoo. Tanto las zonas como los puntos de acceso a las mismas están vigilados por vídeo las 24 horas del día. Los armarios de servidores de meetyoo se pueden cerrar individualmente.
Sistema de control de acceso a las oficinas de la Friedrichstrasse:
El acceso a las oficinas de la Friedrichstrasse se controla mediante un sistema de tarjetas de acceso. La emisión y el uso de las tarjetas se registran, y los horarios de acceso permitidos se adaptan individualmente. El personal de recepción facilita la entrada a los visitantes y al personal de terceros y los acompaña hasta la persona de contacto deseada.
El acceso público al edificio de oficinas es posible los días laborables de 7:00 a 20:00 horas. Fuera de este horario, se requiere una tarjeta de acceso adicional para desbloquear las puertas de entrada y el ascensor. Esta tarjeta adicional sólo se expide a los empleados seleccionados. Tanto la emisión como el uso de la misma se registran. Un conserje está siempre presente en la zona del vestíbulo del edificio (24 horas al día, 7 días a la semana).
Todas las puertas están fabricadas en material ignífugo y, en la medida en que son salidas de emergencia, están aseguradas por un sistema de alarma local. Las oficinas están situadas en la tercera planta. Las ventanas sólo pueden inclinarse hacia abajo con un ángulo muy estrecho y son de cristal de seguridad, por lo que no es posible la penetración.
Sistema de control de acceso al centro de datos AWS
El equipo de procesamiento de datos utilizado para los eventos virtuales se encuentra en el centro de datos de la empresa Amazon Web Services EMEA SARL en Frankfurt o París. Los centros de datos están certificados según las normas vigentes:
ISO 27001, ISO 27017, ISO27018, , SAS 70 Tipo 1, PCI DSS Nivel 1, HIPAA.
El acceso físico al centro de datos de AWS está estrictamente controlado por personal de seguridad profesional, tanto en el perímetro como en las entradas del edificio. Se utilizan sistemas de videovigilancia y de detección de ataques de última generación y otros equipos electrónicos. El personal autorizado debe someterse a una autenticación de dos factores al menos dos veces antes de que se le permita entrar en las plantas del centro de datos. Todos los visitantes y contratistas deben identificarse y registrarse. Los visitantes estarán acompañados por personal autorizado en todo momento.
Cuando las personas autorizadas se registran, se les entrega una tarjeta de identificación que requiere una autenticación multifactor y restringe el acceso a las áreas previamente autorizadas.
El acceso al centro de datos se registra y es auditado periódicamente por el personal de AWS.
Más información sobre el concepto de seguridad de AWS:
https://aws.amazon.com/de/security/
Control de acceso:
Las autorizaciones se asignan exclusivamente en el contexto de las obligaciones contractuales para la prestación del alcance necesario de los trabajos respectivos.
Reglas de contraseña: El acceso a los sistemas de meetyoo se controla mediante contraseña. La entrada de un usuario individual al sistema está protegida por estrictas reglas de contraseña. Esto incluye caracteres especiales, longitud mínima y cambios regulares de las contraseñas, entre otras cosas.
Bloqueo de pantalla: Según el Acuerdo de Uso de los Puestos de Trabajo de TI, cada empleado de meetyoo está obligado a bloquear su pantalla al salir del lugar de trabajo. Además, la pantalla se bloquea automáticamente tras cinco minutos de inactividad. Los puestos de trabajo de los empleados, que a menudo tienen que abandonar sus puestos de trabajo durante un corto período de tiempo debido a la naturaleza de su trabajo (por ejemplo, la recepción), también están asegurados por un dongle USB.
Control de acceso:
Las autorizaciones se asignan exclusivamente en el contexto de las obligaciones contractuales para la prestación del alcance necesario del trabajo respectivo. Las autorizaciones de acceso a los distintos sistemas se conceden sólo después de que un empleado haya trabajado en el respectivo plan de formación inicial y sólo después de la aprobación del jefe de departamento. Estas autorizaciones se documentan de forma centralizada. Esto también se aplica al área de administración de los sistemas. La administración también se lleva a cabo, en la medida de lo posible, sólo con cuentas personales.
Los datos relativos a los conceptos de autorización y los derechos de acceso basados en las necesidades, así como el registro de los accesos, están protegidos contra la lectura, la copia, la modificación o la supresión no autorizadas.
La red de meetyoo está dividida en varias zonas separadas por cortafuegos. Se presta una atención estricta en el diseño de la comunicación entre estas zonas para garantizar que no se permita ninguna comunicación desde las zonas desmilitarizadas hacia la red interna de meetyoo.
Los datos personales se almacenan en la red interna en la medida de lo posible. La seguridad de estas medidas es auditada regularmente por proveedores de servicios externos e internamente en el contexto de una prueba de penetración (como pruebas de caja negra y blanca).
La protección contra los virus se lleva a cabo de acuerdo con un proceso definido y documentado. Todos los ordenadores de los clientes están equipados con el software antivirus adecuado y se comunican regularmente con un servidor central, que garantiza que las firmas están actualizadas. Este servidor central comprueba todos los correos electrónicos salientes en busca de posibles infecciones de virus para garantizar que no se pongan en circulación virus desde la red de meetyoo. Además, todos los correos electrónicos entrantes se comprueban en busca de virus con la ayuda de un proveedor de servicios. Los mensajes afectados no se entregan.
Control de separación:
La red de meetyoo está dividida en varias zonas separadas por cortafuegos. Se presta una atención estricta en el diseño de la comunicación entre estas zonas para garantizar que no se permita ninguna comunicación desde las zonas desmilitarizadas hacia la red interna de meetyoo.
Los datos personales sólo se recogerán en el marco de lo absolutamente necesario para nuestra prestación de servicios. Una vez que los datos dejan de ser necesarios, se eliminan. La revisión de una cartera de datos para los datos que ya no son necesarios tiene lugar de acuerdo con un calendario de revisión especificado. Esto no afecta al derecho individual de información, rectificación y supresión de datos personales de acuerdo con el Art. 15 - 17 (GDPR). Las solicitudes de información pueden dirigirse al responsable de la protección de datos de la empresa meetyoo en cualquier momento y serán respondidas con la mayor celeridad posible. La eliminación de las facturas detalladas está sujeta además a los requisitos de la TKG (Ley de Telecomunicaciones). Por supuesto, éstas se respetarán.
Las modificaciones de los sistemas existentes, así como la introducción de nuevos sistemas, sólo se llevan a cabo, en principio, tras una amplia prueba en una red de pruebas meetyoo completamente desvinculada de la red operativa. Antes de trasladar cualquier modificación/nueva función a la red operativa, se realiza una prueba de aceptación documentada y un AMFE, que incluye la definición de las contramedidas adecuadas.
La aplicación de parches en los sistemas informáticos se lleva a cabo en el marco del proceso documentado de gestión de parches. Los nuevos parches se prueban primero en un entorno de laboratorio y luego se instalan en el sistema operativo. Los plazos designados dependen de la clase de riesgo de los errores que hay que parchear.
(2) Medidas para garantizar la integridad de forma permanente:
Medidas para impedir la lectura, la copia, la modificación o la supresión no autorizadas de los datos personales durante la transmisión o el transporte electrónicos.
a) Control de la transmisión
Establecimiento de líneas dedicadas o túneles VPN. Transferencia cifrada de datos desde o hacia las redes externas mediante protocolos de transporte adecuados.
b) Control de entrada
Los derechos para introducir, modificar y borrar datos se asignan sobre la base de un concepto de autorización. La entrada, la modificación y la eliminación de datos no son rastreables por nombres de usuarios individuales (no por grupos de usuarios).
(3) Medidas para garantizar la disponibilidad de forma permanente:
Los sistemas operativos pertinentes de meetyoo son redundantes.
Todos los datos relevantes para la empresa de meetyoo se copian a intervalos regulares en el contexto de un plan de copias de seguridad estructurado. Esto también se aplica especialmente a los datos personales. La correcta ejecución de los trabajos de copia de seguridad se comprueba diariamente. También se crea un archivo una vez al mes. Los datos archivados se guardan en una caja fuerte. Una vez al mes se realiza un ejercicio de emergencia en el que se comprueba la recuperación de los datos de la copia de seguridad. El resultado de la prueba se documenta.
Existe un manual de emergencia, en el que se documentan todos los diferentes escenarios de error y los procedimientos operativos adecuados para resolverlos para todos los sistemas operativos relevantes de meetyoo. Este manual de emergencia forma parte de nuestro sistema de gestión de la calidad y la seguridad de la información y se revisa periódicamente (al menos una vez al año). Sobre la base de este manual de emergencia, se realizan simulacros trimestrales para comprobar y garantizar la respuesta correcta de cada entidad implicada.
Los sistemas empresariales de meetyoo se encuentran en una zona de centro de datos diseñada específicamente para el funcionamiento de la infraestructura informática. El suministro de energía se realiza a través de dos anillos de suministro separados, cada uno de los cuales está asegurado por un SAI. El SAI garantiza un tiempo de puenteo de 30 (treinta) minutos a plena carga. La protección adicional se proporciona mediante un motor diesel que garantiza el suministro de energía durante 24 (veinticuatro) horas adicionales.
Hay un sistema de detección temprana de incendios y un sistema de extinción de incendios no tóxico y gaseoso en la zona del centro de datos.
Centro de datos de AWS
Para proteger los datos de las cuentas y de los usuarios contra la pérdida, se realizan copias de seguridad varias veces al día. La copia de seguridad de la base de datos está asegurada por el servicio Amazon S3 (Servicio de Almacenamiento en la Nube) con réplicas múltiples. Los datos no modificables (por ejemplo, vídeos, archivos de registro, etc.) se respaldan mediante el servicio Amazon Glacier. Ambos ofrecen una "durabilidad diseñada" del 99,9999999%. Cada tres meses se comprueba si el proceso de restauración de las copias de seguridad funciona.
(4) Medidas para el uso de seudónimos y anonimización de datos personales:
Existe una estricta separación entre los datos maestros de los clientes y los datos de ventas de los clientes, mediante el uso de sistemas separados entre sí. Se trata de un sistema CRM y un sistema ERP. En cumplimiento de la legislación aplicable, los datos se anonimizarán automáticamente. Una vez transcurrido el período de almacenamiento correspondiente, estos datos también se eliminarán automáticamente.
(5) Medidas para el cifrado de datos personales:
El intercambio de datos personales se realiza con el uso de los siguientes mecanismos de encriptación:
-Uso de contraseñas encriptadas
-Transferencia cifrada de datos desde o hacia redes externas mediante protocolos de transporte adecuados (SSL/TLS, etc.)
-Uso de soportes de datos encriptados y dispositivos móviles
(6) Medidas para garantizar la capacidad de los sistemas y servicios de forma permanente:
En el marco de nuestro sistema de gestión de la seguridad de la información, se realizan pruebas de penetración periódicas y documentadas. En las salas de servidores se instalan dispositivos para controlar la temperatura y la humedad. Los sistemas y servicios están diseñados de tal manera que es posible que se produzcan casos ad hoc de alta carga con las operaciones de procesamiento.
Centro de datos de AWS
Como parte de la gestión de la seguridad de la información, se realizan pruebas de penetración periódicas y documentadas en el centro de datos de Amazon. Los sistemas y servicios de Amazon están diseñados de tal manera que incluso son posibles las cargas altas selectivas de eventos virtuales.
(7) Medidas para el rápido restablecimiento de la disponibilidad en caso de incidente físico o técnico:
Todos los datos relevantes para el negocio de meetyoo se copian a intervalos regulares en el marco de un plan estructurado de copias de seguridad. Esto se aplica también y en particular a los datos personales. La correcta ejecución de los trabajos de copia de seguridad se comprueba diariamente. Además, cada mes se crea un archivo. Los datos archivados se guardan en una caja fuerte. También se realiza un ejercicio de emergencia cada mes, en el marco del cual se comprueba la restauración de los datos a partir de la copia de seguridad. El resultado de la prueba se documenta.
Centro de datos de AWS
La cuenta y los datos de los usuarios se respaldan varias veces al día como parte de un plan estructurado de copias de seguridad utilizando el servicio Amazon S3. Cada tres meses se comprueba si el proceso de copia de seguridad funciona.
(8) Medidas para la revisión, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas:
meetyoo está certificado según la norma ISO 27001. El certificado actual se puede encontrar en el siguiente enlace: https://www.certipedia.com/quality_marks/9105037096?locale=en
En el contexto de nuestro sistema de gestión de la seguridad de la información, las medidas técnicas y organizativas para la protección de los datos personales se auditan y evalúan periódicamente.
Todos los empleados están obligados a mantener el secreto de los datos y reciben formación periódica.
Se ha designado un responsable de la protección de datos que trabaja en estrecha colaboración con meetyoo para apoyar la implantación y evaluación de nuestro sistema de gestión de la protección de datos.
(9) Medidas de supresión de datos y restricción del tratamiento:
meetyoo toma las siguientes medidas para la eliminación de datos
-Eliminación de datos mediante programas informáticos, incluido el registro
-Destrucción física de los soportes de datos, incluido el registro
-Destrucción de documentos en papel, incluido el registro
Imagen
