En GumGum nos tomamos muy en serio la seguridad de tus datos. Dado que la transparencia es uno de los principios sobre los que se asienta nuestra empresa, nuestro objetivo es ser lo más claros y abiertos posible en cuanto a la forma en que gestionamos la seguridad. Entendemos que confías en los servicios de GumGum para obtener un rendimiento óptimo. Nos comprometemos a hacer de GumGum un servicio de alta disponibilidad en el que puedas confiar. Nuestra infraestructura funciona con sistemas tolerantes a fallos, tanto en caso de averías de servidores individuales como de centros de datos completos.
Resumen
GumGum, Inc., incluidas todas sus filiales, ha implementado y/o se encargará de garantizar que cada uno de sus subencargados del tratamiento implemente las medidas destinadas a:
- Impedir el acceso de personas no autorizadas a los equipos informáticos utilizados para el tratamiento de datos personales (control de acceso a los equipos).
- Evitar la lectura, copia, modificación o sustracción no autorizadas de soportes de datos que contengan datos personales (control de soportes).
- Evitar el acceso, la modificación o la supresión no autorizados de los datos personales almacenados (control del almacenamiento).
- Impedir que personas no autorizadas utilicen los sistemas automatizados de tratamiento de datos mediante equipos de comunicación de datos empleados para tratar datos personales (control de usuarios).
- Limitar el acceso a los datos personales por parte de las personas autorizadas a utilizar un sistema automatizado de tratamiento de datos al alcance y la duración de su autorización de acceso (control de acceso a los datos).
- Habilitar la verificación de las personas a las que se han transmitido o facilitado datos personales mediante equipos de comunicación de datos (control de la comunicación).
- Habilitar la verificación de qué personas introducen datos personales en los sistemas automatizados de tratamiento de datos y cuándo lo hacen (control de la introducción de datos).
- Evitar la lectura, copia, modificación o supresión no autorizadas de los datos personales durante las transferencias de dichos datos o durante el transporte de los soportes de datos (control del transporte).
- Permitir la restauración de los sistemas instalados que se utilizan para tratar datos personales en caso de interrupción (recuperación).
- Garantizar que las funciones del sistema utilizado para tratar los datos personales funcionen correctamente, que se notifiquen los fallos que se produzcan en dichas funciones (fiabilidad) y evitar que los datos personales almacenados se vean alterados a causa de un mal funcionamiento del sistema (integridad).
Principios rectores
GumGum se rige por estos principios rectores a la hora de desarrollar e implementar controles de seguridad:
- GumGum se esfuerza por proteger la confidencialidad, la integridad y la disponibilidad de sus activos de información y de los de sus clientes.
- Cumpliremos con la legislación aplicable en materia de privacidad y protección de datos, tanto de Estados Unidos como internacional.
- Equilibraremos la necesidad de eficiencia empresarial con la necesidad de proteger la información sensible, de propiedad exclusiva o cualquier otro tipo de información confidencial frente a riesgos indebidos.
- Mediante medidas de autenticación adecuadas (cifradas), solo concederemos acceso a información sensible, de propiedad exclusiva u otra información confidencial a aquellas personas que tengan necesidad de conocerla y que dispongan del nivel mínimo de privilegios necesario para desempeñar las funciones que se les hayan asignado.
- Conscientes de que un personal bien formado es la mejor línea de defensa, ofreceremos formación y recursos en materia de seguridad para ayudar a cada persona a comprender y cumplir con sus obligaciones en materia de seguridad de la información.
Confidencialidad
Aplicamos controles estrictos sobre el acceso de nuestros empleados a los datos que usted y sus usuarios ponen a disposición a través de los servicios de GumGum, tal y como se define más específicamente en su contrato con GumGum relativo al uso de los servicios de GumGum («Datos del cliente»). El funcionamiento de los servicios de GumGum requiere que algunos empleados tengan acceso a los sistemas que almacenan y tratan los Datos del Cliente. Por ejemplo, para diagnosticar un problema que usted tenga con los servicios de GumGum, es posible que necesitemos acceder a sus Datos del Cliente. Estos empleados tienen prohibido utilizar dichos permisos para consultar los Datos del Cliente, salvo que sea necesario hacerlo. Contamos con controles técnicos y políticas de auditoría para garantizar que se registre cualquier acceso a los Datos del Cliente.
Prácticas de recursos humanos
GumGum lleva a cabo comprobaciones de antecedentes de todos los empleados antes de su contratación, y estos reciben formación sobre privacidad y seguridad tanto durante el proceso de incorporación como de forma continua (anual). Además, en el momento de la contratación, todos los empleados deben firmar y cumplir nuestros acuerdos de confidencialidad. Asimismo, incluimos obligaciones de confidencialidad en todos nuestros acuerdos con proveedores y consultores.
Acceso
Los derechos de acceso al sistema se limitarán únicamente a aquellos necesarios para realizar las tareas (principio de minimalismo). Una vez completadas las tareas, el derecho de acceso se eliminará o bloqueará. Las solicitudes de derechos de acceso están sujetas al principio de separación de funciones. Se documentará la asignación y la gestión de los derechos. Si el acceso a datos personales no es explícitamente necesario, no se permitirá dicho acceso. Se asignarán derechos de usuario que permitan el acceso únicamente en la medida en que sea necesario para una tarea o función, es decir: lectura, escritura, modificación, etc. El acceso a través de redes externas estará adecuadamente protegido (cifrado, autenticación, etc.). Se implementarán protocolos de contraseñas seguras basados en el estado actual de la tecnología.
Servidor en la nube
De conformidad con el Acuerdo de cláusulas modelo de GumGum, GumGum no trata ni almacena datos de los consumidores en sus propias instalaciones, y hemos establecido cláusulas para la transferencia y el almacenamiento de datos en diversos servidores en la nube:
- EE. UU. (Virginia y Oregón) para AWS
- Irlanda
- Tokio
En lo que respecta a las oficinas corporativas de GumGum, el acceso físico a las instalaciones estará controlado tanto en el perímetro como en los puntos de entrada al edificio por personal de seguridad profesional, videovigilancia, tarjetas de acceso y sistemas de alarma para poder acceder a la planta de oficinas fuera del horario laboral. El personal autorizado debe disponer de una tarjeta de acceso para acceder a determinadas plantas durante el horario laboral, y todos los visitantes y contratistas deben registrarse ante el personal autorizado.
Seguridad de los datos
Los servicios se prestan utilizando métodos y productos de cifrado estándar y aceptados en el sector para proteger los datos y las comunicaciones del proveedor de servicios durante la transmisión, lo que incluye el cifrado de los datos en tránsito y el cifrado de los datos en reposo. Además, los datos del proveedor de servicios se cifran durante la transmisión entre centros de datos con fines de replicación. Prácticamente todos los datos se almacenan en un servidor en la nube, y nuestra sólida Política de Seguridad de la Información incluye procedimientos para garantizar que se apliquen los controles de seguridad de red adecuados, entre los que se incluyen la segregación de redes y otras medidas destinadas a minimizar el riesgo derivado de incidentes de seguridad, como las filtraciones de datos provocadas por malware, virus, spyware, etc. Los controles perimetrales protegen nuestra red frente a ataques externos. Los cortafuegos, configurados de acuerdo con los estándares y procedimientos técnicos vigentes, separan nuestra red de confianza de Internet o de los entornos conectados a Internet.
Seguimiento
Las introducciones, modificaciones y eliminaciones de datos personales se registran y se revisan periódicamente para detectar un tratamiento indebido de los datos. Los registros de acceso contendrán un registro de todos los intentos de inicio de sesión, tanto exitosos como fallidos, iniciados por el usuario o por el sistema. Se registrarán todas las actividades relevantes para la seguridad del sistema que se realicen utilizando derechos de administrador. Los datos de registro se almacenarán de forma que se impida su manipulación, se garantice su rápida disponibilidad y se cumplan los requisitos legales. Solo los usuarios autorizados podrán acceder a los datos de registro.
Disponibilidad
Para reducir el riesgo de pérdida de datos, se realizarán copias de seguridad periódicas. Además, los sistemas de tratamiento de datos se mantendrán y actualizarán adecuadamente. Se aplican las siguientes medidas de seguridad como parte de los controles de disponibilidad (entre otras): (a) procedimientos de copia de seguridad; (b) arquitectura multisitio; y (c) redundancia de los sistemas críticos.
Gestión de incidentes
GumGum cuenta con políticas y procedimientos formales de gestión de incidentes de seguridad y notificará a las partes interesadas (incluidas personas físicas, clientes, proveedores, socios y, en su caso, organismos reguladores) sin demora indebida tras tener conocimiento de la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, ya sea accidental o ilícito, a los Datos del Proveedor de Servicios —incluidos los Datos Personales— transmitidos, almacenados o tratados de cualquier otra forma por GumGum o sus subencargados del tratamiento, de los que GumGum tenga conocimiento (un «Incidente de violación de datos del proveedor de servicios»). GumGum realizará todos los esfuerzos razonables para identificar la causa de dicho incidente de datos del proveedor de servicios y adoptará las medidas que considere necesarias y razonables para subsanar la causa de dicho incidente, en la medida en que dicha subsanación esté dentro del control razonable de GumGum. Las obligaciones aquí establecidas no se aplicarán a los incidentes causados por el proveedor de servicios o por los usuarios de este.
Seguridad de las infraestructuras
El entorno se protegerá frente a las amenazas habituales mediante métodos estándar del sector, entre los que se incluyen: (a) cortafuegos de aplicaciones web; (b) sistemas de detección y prevención de intrusiones; (c) análisis de vulnerabilidades de la infraestructura, y (d) análisis de vulnerabilidades de aplicaciones web.
Si tiene alguna otra pregunta sobre seguridad, estaremos encantados de responderla. Escriba a nuestro responsable de cumplimiento normativo global a la siguiente dirección: compliance@gumgum.com, y le responderemos lo antes posible.