Política de seguridad
- Amilon aplica una Política de Seguridad de la Información adecuada a su ámbito de servicio, con especial atención al tratamiento de datos personales.
- Amilon actualiza su Política de Seguridad al menos una vez al año e informa a sus empleados, colaboradores y terceros implicados en el tratamiento de datos.
Funciones y responsabilidades
- Amilon define, documenta e informa a los demás sobre las funciones y responsabilidades del personal que participa en la gestión de los procesos de protección de datos.
- Las funciones y los ámbitos de responsabilidad asignados a los principales agentes implicados en la gestión de la protección de datos (por ejemplo, el responsable de seguridad, el auditor de seguridad, el RPD) se definen respetando el principio de separación de funciones, es decir, son lo más distintos e independientes posible.
Gestión del acceso
- Amilon establece, documenta y aplica una política de acceso con normas precisas para el control de acceso, con derechos y restricciones específicas en función del papel desempeñado por el usuario en el tratamiento de los datos personales.
- Basándose en los criterios de elegibilidad verificados, Amilon identifica los roles a los que se conceden poderes de administrador y limita su asignación a un número mínimo de usuarios.
- Amilon aplica un sistema de control de acceso a todos los usuarios de los sistemas de información que prevé la creación, aprobación, seguimiento y eliminación de cuentas.
- No se permite el uso de cuentas genéricas o compartidas, por lo que las cuentas son individuales y únicas.
- El mecanismo de autenticación implementado permite acceder a los sistemas mediante el uso de una identificación de usuario y una contraseña o mediante autenticación biométrica (huellas dactilares). La contraseña es compleja (longitud, números, letras, caracteres especiales) y tiene una validez máxima de 90 días. Después de 90 días, el usuario está obligado a cambiarla.
- La política de contraseñas se documenta formalmente y se distribuye al personal.
- Las contraseñas de los usuarios se almacenan en forma de hash, es decir, cifradas con un algoritmo que no permite la reversibilidad del cifrado.
Gestión de activos
- Amilon elabora un inventario de los activos informáticos (hardware, software, red) utilizados para el tratamiento de datos personales y lo mantiene actualizado; el inventario contiene la siguiente información: activo, tipo, ubicación, gestor del activo, cesionario del activo.
- Amilon identifica el personal que puede o no tener acceso a cada activo de información, especialmente si está involucrado en el tratamiento de datos personales particulares.
Gestión del cambio
- Amilon registra y controla todos los cambios realizados en sus activos informáticos a través de personal autorizado.
- Las tareas de desarrollo se llevan a cabo en un entorno protegido y separado de los sistemas informáticos utilizados para el tratamiento de datos personales.
- El entorno de pruebas, separado de los entornos de desarrollo y producción, no contiene datos reales y, si están presentes, están protegidos por medidas de seguridad equivalentes a las presentes en el entorno de producción.
- Amilon establece y documenta una Política de Gestión de Cambios que define los roles y responsabilidades de las funciones involucradas y el proceso de control.
Gestión de incidentes
- Amilon aplica un plan de gestión de incidentes.
- Amilon aplica un procedimiento para la gestión de las violaciones de datos y su notificación al Supervisor de Protección de Datos.
- Amilon dispone de un registro de incidentes de alto impacto (incluidas las violaciones de datos) en el que indica las medidas de mitigación adoptadas.
Continuidad de la actividad y recuperación de desastres
- Amilon establece, documenta y aplica un plan de continuidad de la actividad que define el nivel de servicio garantizado e identifica las funciones y responsabilidades implicadas en el proceso.
- Amilon establece, documenta y aplica un Plan de Recuperación de Desastres.
Formación del personal
- Los principios básicos y las normas de protección de datos se difunden a todo el personal.
- Se imparten programas específicos de formación y actualización sobre el RGPD, en función del papel que desempeñe el personal en el tratamiento de datos personales.
Registro y control
- Los registros de acceso a todos los sistemas de información se rastrean y almacenan de forma segura.
- Se hace un seguimiento de las acciones realizadas por los administradores del sistema, incluyendo la adición, el cambio o la eliminación de los privilegios de los usuarios.
- El acceso a los registros y cualquier cambio son a su vez rastreados por los registros.
- Se aplica un proceso de control periódico de los registros.
Seguridad de la base de datos y del servidor
- Las bases de datos y los servidores de aplicaciones están configurados según el principio de minimización de datos (no hay más datos en los sistemas que los estrictamente necesarios).
- Se requieren cuentas separadas para operar a nivel de Base de Datos y Servidor de Aplicaciones, mientras que a nivel de sistema operativo se otorgan privilegios mínimos.
Seguridad del puesto de trabajo
- Los usuarios asignados a la estación de trabajo no pueden desactivar o evitar la configuración de seguridad.
- El software antivirus y de detección de firmas está configurado en todos los ordenadores.
- Los ordenadores están configurados para bloquear automáticamente la sesión después de un determinado período de inactividad del usuario (5 minutos).
- El usuario se bloquea durante 10 minutos en caso de 5 entradas erróneas de la contraseña de acceso.
- Las actualizaciones pertinentes publicadas por el desarrollador del sistema operativo se instalan regularmente.
- La posibilidad de transferir datos personales desde el puesto de trabajo a un medio de almacenamiento externo (por ejemplo, USB, discos duros externos, CD/DVD) se desaconseja mediante el establecimiento de normas de comportamiento.
Seguridad de redes y comunicaciones
- Las transmisiones de información a través de Internet están protegidas mediante el uso de protocolos de comunicación cifrados; en particular, Amilon adopta los protocolos https/ftps.
- El acceso a los sistemas informáticos a través de la red inalámbrica sólo se permite a los usuarios y sistemas autorizados por el Departamento de Sistemas.
- En caso necesario, el acceso remoto se realiza únicamente mediante dispositivos preautorizados a través de una red privada virtual (VPN).
- El tráfico de entrada y salida de los sistemas informáticos se supervisa y controla mediante cortafuegos y sistemas de detección de intrusos.
Copia de seguridad y restauración
- Las copias de seguridad se almacenan de forma segura, según normas y procedimientos establecidos en función del tipo de datos y del servicio que los utiliza.
- Se supervisa la ejecución de las copias de seguridad y se realizan pruebas periódicas de restauración para evaluar su coherencia e integridad.
- Las copias de seguridad totales e incrementales de los datos de los movimientos de las tarjetas regalo se realizan diariamente.
Dispositivo móvil
- El uso de dispositivos móviles y portátiles se regula mediante la redacción y publicación de normas de comportamiento.
Seguridad del ciclo de vida de las aplicaciones
- Durante las primeras etapas del desarrollo de software, se definen ciertos requisitos de seguridad.
- El ciclo de vida de las aplicaciones se guía por el uso y la consulta de las mejores prácticas y los estándares de codificación segura (https://safecode.org/).
- La evaluación de la vulnerabilidad y las pruebas de penetración se realizan periódicamente.
- Los parches se prueban y autorizan en el entorno de pruebas antes de instalarlos en el entorno de producción.
Supresión y eliminación de datos
- Todos los dispositivos están sujetos a una reescritura antes de su eliminación.
- Amilon desaconseja el uso de soportes de papel para los documentos que contienen datos personales y/o clasificados; no obstante, cuando es necesario, estos documentos se guardan de forma segura en armarios y/o cajones cerrados con llave, o se destruyen de forma segura.
- Los dispositivos informáticos cuyos datos no puedan ser borrados de forma segura deberán ser destruidos físicamente de forma que los datos sean irrecuperables.
Seguridad física
- Los sistemas de información están protegidos mediante el uso de barreras físicas contra el acceso no autorizado.
- La entrada a las salas que contienen sistemas de información se registra y se controla.
- El personal de mantenimiento y los visitantes están registrados y acompañados por una persona de contacto interna autorizada durante todo el tiempo de su visita.
- Amilon cuenta con un plan de seguridad física y, a través de un programa de información adecuado, se recuerda a sus empleados y colaboradores que deben tener un comportamiento adecuado.
- El acceso a las oficinas por parte del personal se permite mediante el uso de tarjetas magnéticas.