Controles

La empresa exige que los empleados firmen un acuerdo de confidencialidad durante el proceso de incorporación.

Los requisitos de retención están documentados y los datos personales se conservan según las necesidades comerciales y/o conforme a las leyes y normativas aplicables.

Las políticas y procedimientos de seguridad de la información de la empresa están documentados y se revisan al menos una vez al año.

La empresa cuenta con planes de continuidad del negocio y de recuperación ante desastres que definen planes de comunicación para mantener la continuidad de la seguridad de la información en caso de indisponibilidad del personal clave.

La empresa utiliza protocolos seguros de transmisión de datos para cifrar la información confidencial y sensible cuando se transmite a través de redes públicas.

La empresa documenta y comunica nuevas finalidades del uso de datos previamente recopilados, obtiene el consentimiento cuando corresponde y garantiza su uso conforme a dichas finalidades.

La empresa cuenta con una metodología formal del ciclo de vida de desarrollo de sistemas (SDLC) que regula el desarrollo, la adquisición, la implementación, los cambios (incluidos los cambios de emergencia) y el mantenimiento de los sistemas de información y los requisitos tecnológicos relacionados.

La empresa dispone de procesos para registrar, verificar y gestionar solicitudes, consultas, reclamaciones o disputas relacionadas con los derechos de privacidad de las personas. Las solicitudes de acceso se registran con fines históricos y de auditoría.

La política de privacidad está disponible para clientes, empleados y terceros relevantes antes o, como máximo, en el momento de la recopilación de datos personales.

La empresa realiza autoevaluaciones de controles al menos una vez al año para garantizar que los controles estén implementados y funcionen de manera eficaz. Se adoptan acciones correctivas en función de los hallazgos relevantes. Si la empresa se ha comprometido a un SLA para un hallazgo, la acción correctiva se completa dentro de dicho SLA.

La empresa dispone de una política de privacidad que describe claramente el alcance de los datos personales recopilados, las obligaciones de la empresa, los derechos de las personas y un punto de contacto actualizado para consultas o solicitudes.

La empresa ha formalizado acuerdos escritos con proveedores y otros terceros que incluyen compromisos de confidencialidad y protección de datos personales.

La política de privacidad se revisa y actualiza cuando es necesario para garantizar su conformidad con las leyes, normativas y estándares aplicables.

La empresa elimina los datos del cliente que contienen información confidencial del entorno de la aplicación, conforme a las mejores prácticas, al finalizar el servicio.

La dirección y/o el departamento legal revisan y aprueban los métodos de recopilación de datos personales antes de su implementación para garantizar un tratamiento justo y legal.

La empresa revisa la política de privacidad según sea necesario o cuando se produzcan cambios, y la actualiza para garantizar su conformidad con las leyes, normativas y estándares aplicables.

Los miembros del consejo cuentan con la experiencia suficiente para supervisar la capacidad de la dirección para diseñar, implementar y operar controles de seguridad de la información. El consejo recurre a expertos y consultores externos cuando es necesario.

Tras la verificación, la empresa proporciona la información solicitada de manera oportuna y conforme a la ley aplicable.

La empresa mantiene un seguro de ciberseguridad para mitigar el impacto financiero de interrupciones del negocio.

La empresa realiza verificaciones de antecedentes a los nuevos empleados.

La empresa prohíbe, mediante políticas internas, que los datos confidenciales o sensibles de los clientes se utilicen o almacenen en sistemas o entornos que no sean de producción.

La empresa realiza inspecciones de mantenimiento de las medidas de seguridad ambiental en los centros de datos de la empresa al menos una vez al año.

La empresa revisa el acceso a los centros de datos al menos una vez al año.

La empresa cuenta con una estrategia de múltiples ubicaciones para los entornos de producción, diseñada para permitir la reanudación de las operaciones en otros centros de datos de la empresa en caso de la pérdida de una instalación.

La empresa mantiene una política de privacidad claramente fechada y redactada en lenguaje sencillo que describe las prácticas y finalidades de la recopilación, el tratamiento, el uso y la divulgación de datos personales.

Los sistemas de producción de la empresa solo pueden ser accedidos de forma remota por empleados autorizados a través de una conexión cifrada aprobada.

La empresa valida las solicitudes de eliminación y, una vez confirmadas, elimina la información solicitada conforme a la legislación aplicable.

La empresa obtiene, documenta y conserva el consentimiento explícito antes de la recopilación, el uso o la divulgación de información sensible, conforme a los requisitos legales y regulatorios aplicables.

La empresa cuenta con procedimientos formales para la retención y eliminación segura de los datos de la empresa y de los clientes.

La empresa proporciona a los clientes directrices y recursos de soporte técnico relacionados con la operación de los sistemas.

Los sistemas de producción de la empresa solo pueden ser accedidos de forma remota por empleados autorizados que dispongan de un método válido de autenticación multifactor (MFA).

Las evaluaciones de riesgos se realizan al menos anualmente e incluyen la identificación de amenazas, cambios y riesgos de fraude.

La empresa cuenta con procedimientos documentados para gestionar y documentar reclamaciones relacionadas con la privacidad y comunicar las resoluciones a los interesados.

La empresa cuenta con un programa de gestión de riesgos implementado y documentado que incluye la identificación de amenazas, la evaluación de riesgos y medidas de mitigación.

La empresa ha establecido, mantiene y revisa, al menos una vez al año, la documentación sobre la naturaleza, el alcance y la finalidad de los datos personales que se recopilan, procesan, almacenan y/o se divulgan a terceros.

La empresa exige que el acceso a los almacenes de datos de producción utilice mecanismos de autenticación seguros y autorizados, como claves SSH únicas.

La empresa revisa y actualiza periódicamente sus políticas y procedimientos relacionados con los datos personales para garantizar que la información recopilada se identifique claramente como esencial u opcional, se trate con el consentimiento adecuado de conformidad con los requisitos legales y regulatorios aplicables, y se utilice únicamente para los fines definidos en la política de privacidad.

Los roles y responsabilidades para el diseño, desarrollo, implementación, operación, mantenimiento y supervisión de los controles de seguridad de la información están formalmente asignados en descripciones de puestos y/o en la política de roles y responsabilidades.

Antes de conceder acceso a la información personal, la empresa verifica la identidad del individuo o de su representante autorizado y confirma que dicho acceso esté legalmente permitido.

La empresa prueba su plan de respuesta a incidentes al menos una vez al año.

El consejo de administración de la empresa cuenta con un estatuto documentado que define sus responsabilidades de supervisión sobre el sistema de control interno.

La empresa cuenta con políticas y procedimientos documentados y comunicados para la respuesta a incidentes de seguridad y privacidad.

La empresa revisa y aprueba las fuentes de datos personales obtenidos de terceros para garantizar su fiabilidad y recopilación conforme a la ley.

El consejo de administración se reúne al menos una vez al año y mantiene actas formales de las reuniones. El consejo incluye miembros independientes de la empresa.

La empresa exige que los empleados completen la capacitación en concienciación sobre seguridad dentro de los treinta días posteriores a su contratación y, posteriormente, al menos una vez al año.

El consejo de administración de la empresa, o el subcomité correspondiente, recibe al menos una vez al año una sesión informativa por parte de la alta dirección sobre el estado de la ciberseguridad y los riesgos de privacidad de la empresa. El consejo proporciona retroalimentación y orientación a la dirección según sea necesario.

La empresa proporciona una descripción de sus productos y servicios a usuarios internos y externos.

La empresa elimina de forma segura la información personal conforme a políticas documentadas. Los datos personales se anonimizan, eliminan de forma segura y/o destruyen cuando ya no son necesarios.

La dirección de la empresa ha establecido roles y responsabilidades definidos para supervisar el diseño y la implementación de controles de seguridad de la información.

La empresa exige que la autenticación a sistemas y aplicaciones utilice nombres de usuario y contraseñas únicos o claves Secure Socket Shell (SSH) autorizadas.

Los compromisos de seguridad de la empresa se comunican a los clientes en acuerdos marco de servicios (MSA) o términos de servicio (TOS).

La red de la empresa está segmentada para prevenir el acceso no autorizado a los datos de los clientes.

La empresa define objetivos que permiten la identificación y evaluación de riesgos relacionados con dichos objetivos.

La empresa cuenta con procesos para otorgar, modificar y revocar el acceso físico a los centros de datos en base a la autorización de los responsables de los controles.

La empresa exige que la autenticación a la «red de producción» utilice nombres de usuario y contraseñas únicos o claves Secure Socket Shell (SSH) autorizadas.

Las personas pueden aceptar o rechazar el uso de cookies no esenciales y no se procesan datos personales sin un consentimiento válido.

La empresa mantiene un organigrama que describe la estructura organizativa y las líneas de reporte.

La empresa cifra los dispositivos de medios portátiles y extraíbles cuando se utilizan.

Completar una descripción de su sistema para la Sección III del informe de auditoría.

Las pruebas de penetración de la empresa se realizan al menos una vez al año. Se desarrolla un plan de remediación y se implementan cambios para corregir las vulnerabilidades de acuerdo con los SLA.

Los responsables de la empresa están obligados a realizar evaluaciones de desempeño de sus subordinados directos al menos una vez al año.

La empresa dispone de un sistema de soporte externo que permite a los usuarios reportar fallos del sistema, incidentes, inquietudes y otras reclamaciones al personal correspondiente.

La empresa exige que los cambios en los componentes de software e infraestructura del servicio estén autorizados, documentados formalmente, probados, revisados y aprobados antes de su implementación en el entorno de producción.

Las personas, clientes o titulares autorizados de cuentas pueden actualizar su información personal a través de un portal de clientes o mediante los canales indicados en la política de privacidad.

La empresa cuenta con una política de clasificación de datos para garantizar la protección adecuada de los datos confidenciales y su acceso restringido al personal autorizado.

La empresa comunica los cambios del sistema a los usuarios internos autorizados.

La empresa comunica las correcciones o eliminaciones de la información personal de una persona a los usuarios autorizados y a los terceros relevantes a los que dicha información personal haya sido compartida o transferida.

La empresa exige que los empleados reconozcan el código de conducta en el momento de la contratación. Los empleados que infringen el código de conducta están sujetos a medidas disciplinarias de acuerdo con la política disciplinaria.

Los contratistas firman un acuerdo de confidencialidad al inicio de la colaboración.

La empresa informa a las personas cuando o antes de recopilar datos personales y cuando estos se utilizan para nuevos fines no previamente definidos en la política de privacidad.

La empresa notifica a los clientes sobre cambios críticos en los sistemas que puedan afectar su procesamiento.

La empresa obtiene y registra el consentimiento y las preferencias del individuo en o antes del momento de la recopilación de datos y las aplica oportunamente.

La empresa exige que los visitantes se registren, usen una credencial de visitante y estén acompañados por un empleado autorizado al acceder al centro de datos o a áreas seguras.

Las políticas formales de la empresa definen los requisitos para la gestión de vulnerabilidades y el monitoreo del sistema.

La empresa exige que los contratos con los contratistas incluyan un código de conducta o una referencia al código de conducta de la empresa.