MTO (Medidas Técnicas y Organizativas) adoptadas por Soluciones Cuatroochenta S.A. (en adelante ‘Cuatroochenta’)

Medidas para garantizar la confidencialidad de los sistemas y servicios de tratamiento (Artículo 32 (1b) del RGPD)

  1. Control del acceso físico

    Condición / requisito:

    Se debe prevenir el acceso no autorizado a los sistemas de tratamiento de datos; entendiéndose el término como cuestión territorial.

    Acciones tomadas específicamente por Cuatroochenta:

    • Limitación a la asignación de documentos de identidad, tarjetas-llave, etc.

    • Documentación sobre la asignación y devolución de tarjetas-llave, etc.

    • Recepcionista en entrada de Edificio donde se ubica el Centro de Tratamiento.

    • Regulación de las tarjetas de acceso al Centro de Tratamiento.

    • Candados de seguridad.

    • Sistema de seguridad manual

    • Sistema para autorizaciones de acceso para empleados y terceros.

    • Videovigilancia de accesos.

    • Registro de visitantes

    • Selección cuidadosa del personal auxiliar, por ejemplo, personal de limpieza, guardias de seguridad

    • Protección por empresas de seguridad fuera del horario de trabajo

    • Otros: Oficinas cerradas con control de acceso por tarjeta inteligente individual.

  2. Control del acceso lógico

    Condición / requisito:

    Se debe prevenir el uso de sistemas de tratamiento de datos por personas no autorizadas.

    Acciones tomadas específicamente por Cuatroochenta:

    • Creación y uso de perfiles de usuario a nivel de persona

    • Asignación de derechos de usuario

    • Políticas de contraseñas incluyendo duración mínima, intervalo para el cambio de contraseñas, requisitos mínimos para las contraseñas:

    La contraseña se deberá cambiar cada 365 días.

    La contraseña no deberá contener ni parte ni la totalidad del nombre de cuenta del usuario respectivo.

    Deberá tener al menos doce caracteres.

    Deberá contener al menos un carácter de cada una de las categorías de letras mayúsculas desde la A hasta la Z, letras minúsculas desde la a hasta la z, dígitos en base 10 (0 a 9) así como caracteres especiales (tales como: !, $, #, %).

    • Autenticación con la identificación personal del usuario y contraseña

    • Cambio obligatorio de la contraseña

    • Uso de tecnología VPN

    • Uso de cortafuegos de software de última tecnología

    • Uso de cortafuegos de hardware de última tecnología

    • Uso de software de antivirus de última tecnología

    • Uso de sistemas de detección de intrusos

    • Cifrado del contenido del teléfono inteligente

    • Bloqueo de pantalla automático

    • Tiempo de inactividad en la sesión para sesiones inactivas después de un tiempo determinado

    • Otros:

      • Securización de endpoints con solución basada en aprendizaje automático e inteligencia artificial, con total trazabilidad de las acciones permitiendo mejorar la capacidad de resistir ataques de forma proactiva y remediación más rápida en caso de problemas.
      • Equipos (cifrados, actualizados, con agente antivirus, sólo SW autorizado, usuario no administrador, perfil personal/profesional separado, documentos en cloud)
  3. Control del acceso

    Condición / requisito:

    Se deberá asegurar que solo las personas autorizadas a usar un sistema de tratamiento de datos puedan tener acceso a los datos incluidos en su autorización de acceso y que los datos personales no se puedan leer, copiar, modificar o suprimir sin autorización durante el tratamiento, uso y después del almacenamiento.

    Acciones tomadas específicamente por Cuatroochenta:

    • Creación de un concepto de autorización diferenciado, aprobación, divulgación de datos solo para las personas autorizadas (según el principio de la necesidad de conocimiento y el principio del menor privilegio)

    • Administración de los derechos de acceso por el administrador.

    • Número mínimo de personas con «condición de administrador».

    • Autenticación por nombre de usuario y contraseña. (2MFA o SSO)

    • Registro de acceso.

    • Bloqueo inmediato de cuentas de empleados que se han ido.

    • Uso regular de parches de seguridad.

    • Separación de producción y desarrollo.

    • Otros: ……………………………………………………

  4. Control de la separación

    Condición / requisito:

    Los datos recogidos para diferentes fines también se deben tratar separadamente.

    Acciones tomadas específicamente por Cuatroochenta:

    • Separación del sistema productivo y de prueba, zona de pruebas, almacenamiento físicamente separado en sistemas separados o soportes de datos.

    • Creación de un concepto de autorización.

    • Separación manifiestamente lógica de los datos de los respectivos clientes del Cuatroochenta, es decir, los datos de diferentes clientes deben ser tratados separadamente y se debe excluir el acceso mutuo.

    • Los datos de prueba no contienen datos personales en texto sin formato

    • Otros: ……………………………………………………
  1. Medidas para garantizar la integridad de los sistemas y servicios de tratamiento (Artículo 32 (1b) del RGPD)

    1. Control de la transferencia de datos

      Condición / requisito:

      Se deberá asegurar que los datos personales no se puedan leer, copiar, modificar o suprimir sin autorización durante la transmisión electrónica o el transporte o almacenamiento en soportes de datos y que sea posible verificar y establecer las entidades que se prevé para la transferencia de los datos personales mediante instalaciones de transmisión de datos.

      Acciones tomadas específicamente por el Cuatroochenta:

      • Transmisiones cifradas de datos.

      • El acceso a servicios prestados externamente se lleva a cabo utilizando protocolos cifrados (https, sftp, etc.).

      • Redes Privadas Virtuales (VPN).

      • Si el cifrado es manifiestamente imposible, se deberá llevar a cabo un proceso alternativo seguro (por ejemplo, contenedor de transporte con seguro).

      • Revelación de datos a terceros solo con el consentimiento por escrito del CLIENTE.

      • Otros: ……………………………………………………

    2. Control de entrada

      Condición / requisito:

      Se deberá asegurar la trazabilidad o documentación de la gestión y mantenimiento de datos.

      Acciones tomadas específicamente por Cuatroochenta:

      • Política sobre la entrada y recogida de datos

      • Principio de los cuatro ojos.

      • Asignación de derechos para insertar, modificar y suprimir datos basándose en un concepto detallado de autorización

      • Registro de entradas

      • Otros: Auditorías regulares con pruebas de integridad y disponibilidad, verificando el correcto funcionamiento del sistema de recuperación de Backups.

  2. Medidas para garantizar la disponibilidad y capacidad de los sistemas y servicios de tratamiento (Artículo 32 (1b y 1c) del RGPD)

    1. Control de la disponibilidad

      Condición / requisito:

      Se debe proteger los datos para evitar la destrucción o pérdida accidental.

      Acciones tomadas específicamente por Cuatroochenta:

      • Creación de un concepto de copia de seguridad y recuperación.

      • Monitorización y supervisión del estado del sistema y notificación de averías

      • Prueba de la recuperación de datos desde la copia de seguridad

      • Sistema de alimentación ininterrumpida (siglas en inglés, UPS)

      • Almacenamiento de la copia de seguridad en un lugar seguro

      • Uso de software de antivirus de última tecnología

      • Uso de cortafuegos de software de última tecnología

      • Uso de cortafuegos de hardware de última tecnología

      • Concepto de seguridad para salas de servidores incluyendo planes de contingencia

      • Monitorización de la temperatura y humedad en las salas de servidores

      • Sistema de alarma, alarmas contra incendio y humo para las salas de servidores

      • Extintores de incendios en las salas de servidores

      • Que no haya salas de servidores debajo de instalaciones sanitarias

      • Redundancia física de los sistemas de tratamiento de datos

      • Otros: ……………………………………………………

    2. Rápida recuperación

      Condición / requisito:

      Se debe proteger los datos para evitar la destrucción o pérdida accidental.

      Acciones tomadas específicamente por Cuatroochenta:

      • Almacenamiento redundante de datos

      • Servicios de nube

      • Infraestructura doble

      • Otros: ……………………………………………………

  3. Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas (Artículo 32 (1d) del RGPD)

    1. Control del orden

      Condición / requisito:

      Se debe garantizar el tratamiento de los datos siguiendo las instrucciones.

      Acciones tomadas específicamente por Cuatroochenta:

      • Gestión de la respuesta a las incidencias

      • Acuerdo contractual de colaboración entre el Cuatroochenta subcontratista

      • Selección cuidadosa de contratistas

      • Verificación de las medidas técnicas y organizativas en las instalaciones del subcontratista

      • Acuerdo sobre controles aleatorios (por ejemplo, en el caso de cambios, en un ciclo regular)

      • Acuerdo sobre las penalizaciones por incumplimiento de contrato

      • Garantía de devolución/supresión de datos

      • Formación regular para el personal sobre protección de datos (deber de formar)

      • Otros: ……………………………………………………

    2. Otras medidas de auditoría

      • Autoevaluaciones regulares como parte integral de un ciclo PHVA [Planificar-Hacer-Verificar-Actuar]
      • Desarrollo de un concepto de seguridad
      • Auditoría, pruebas regulares
      • Otros: ……………………………………………………