Política de Seguridad de la Información para clientes RD Station
Conozca nuestra Política de Seguridad de la Información para clientes:
1. La Política de Seguridad de la Información aplica a toda la información que está bajo la responsabilidad de RD Station, indistintamente del medio de entrada, y abarca, en particular, las bases de datos, cualquier ambiente informático, documentos, archivos y otras herramientas tecnológicas y/o aplicaciones.
2. El propósito de la Política de Seguridad de la Información es preservar la confidencialidad, integridad y disponibilidad de la información, con el fin de contribuir a garantizar los objetivos de RD Station, preservar la confianza de sus clientes y cumplir con los marcos legales y regulatorios
2.1. En este sentido, RD Station establece objetivos claros para la implementación de procesos, controles y prácticas de seguridad de la información, además de promover la adopción e integración de una Política de Seguridad de la Información que englobe a toda la comunidad.
2.2. Los objetivos de la seguridad de la información son:
2.2.1. Evaluar los riesgos de seguridad de la información, a fin de implementar los controles necesarios para mitigar los riesgos hasta el nivel aceptable predefinido.
2.2.2. Crear una cultura de seguridad de la información a través de acciones de capacitación y sensibilización.
2.2.3. Definir e implementar los controles técnicos y organizativos necesarios para garantizar la confidencialidad, integridad y disponibilidad de la información.
2.2.4. Considerar la seguridad de la información como un proceso de mejora continua, que permite alcanzar niveles de seguridad cada vez más avanzados.
3. Política de Seguridad de la Información
3.1. La Política de Seguridad de la Información se rige por los siguientes principios:
3.1.1. Confidencialidad: solo tendrán acceso a la información aquellos autorizados para los fines correspondientes;
3.1.2. Integridad: la salvaguarda y preservación de la información, además de la conveniencia de sus respectivos métodos de procesamiento;
3.1.3. Disponibilidad: la información estará disponible para todos los usuarios debidamente autorizados;
3.1.4. Auditabilidad: los datos e información corporativos y/o comerciales se registran, compilan, analizan y revelan, tanto a auditores internos como organismos de certificación externos, para que puedan dar fe de su integridad.;
3.1.5. Trazabilidad: capacidad de acceder al historial de las acciones realizadas.
3.2. La seguridad de la información se logra mediante la puesta en práctica de un conjunto de medidas de control, a saber: políticas, estándares y procedimientos, que buscan cumplir con la norma internacional ISO/IEC 27001.
4. Organización de la seguridad de la información
4.1. La organización de seguridad de la información se implementa y maneja mediante un Sistema de Gestión de Seguridad de la Información (SGSI), que asegura un enfoque multidisciplinario y facilita la planificación, diseño, control, evaluación y mejora constante de todos los procesos relacionados con la seguridad de la información de manera integral. Este enfoque abarca tres dimensiones de acción: personas, tecnologías y procesos.
4.2. A RD Station implementa políticas y procedimientos específicos en conformidad con las normas de referencia internacionales, susceptibles a auditorías y que delimitan los requisitos para establecer el SGSI, concretamente:
4.2.1. RD Station promueve la creación de reglas adecuadas para la privacidad de los datos y el cumplimiento de la Ley General de Protección de Datos de Brasil (LGPD – Ley 13.7019/2018);
4.2.2. RD Station promueve, por medio de su SGSI, la protección de la confidencialidad, integridad y disponibilidad de la información, así como la resiliencia de sus sistemas y servicios de procesamiento de información;
4.2.3. RD Station cuenta con una Política de Seguridad de la Información, una Política de Privacidad con Aviso de Privacidad Externo, una Política de Gestión de Riesgos y una Política de Respuesta a Incidentes de Seguridad y Privacidad de la Información, debidamente difundidas y publicadas entre todos los empleados, proveedores, clientes y cualquier persona, plataforma de inteligencia artificial o sistema que posea credenciales para acceder a cualquiera de sus activos;
4.2.4. A través de sus planes de contingencia de incidentes, RD Station promueve la capacidad de minimizar el impacto de los eventos físicos o técnicos;
4.2.5. En su política de gestión de riesgos, establece controles que contemplan los riesgos de seguridad de la información y privacidad asociados con la cadena de suministro de productos y servicios de tecnología de la información y la comunicación;
4.2.6. Delimita las obligaciones contractuales con sus empleados, proveedores, clientes y cualquier persona que tenga acceso a alguno de sus activos, reafirmando su responsabilidad y la de la organización en materia de seguridad de la información;
4.2.7. Exige que sus empleados, proveedores, clientes y cualquier persona que tenga acceso a cualquiera de sus activos sigan de forma rigurosa las prácticas de seguridad de la información de acuerdo con sus políticas y procedimientos;
4.2.8. RD Station valida las responsabilidades y deberes en materia de seguridad y privacidad de la información tras la rescisión o la modificación contractual con sus empleados, proveedores, clientes y cualquier persona física que tenga acceso a alguno de sus activos. Dichas responsabilidades deben ser definidas, comunicadas y cumplidas;
4.2.9. Identifica los mecanismos de seguridad, niveles de servicio y requisitos de gestión de todos los servicios de red proporcionados tanto internamente como por terceros, ya sea a través de acuerdos de niveles de servicio, acuerdos de niveles operativos u otro instrumento;
4.2.10. Transmite de forma segura, utilizando las técnicas necesarias para dicha finalidad, cualquier información, datos personales o similares relacionados con este contrato;
4.2.11. Cuenta con planes para mitigar los riesgos relacionados con el acceso de proveedores o terceros a los activos de los clientes;
4.2.12. RD Station instruye y tiene procesos delimitados para que empleados, proveedores, clientes y todo individuo con acceso a cualquiera de los activos notifiquen y registren cualquier vulnerabilidad a la seguridad de la información, ya sea observada o sospechada, en los sistemas o servicios.
4.2.13. Realiza revisiones de amenazas y pruebas de intrusión periódicas en el sistema para identificar y corregir posibles amenazas a la seguridad, tomando medidas proactivas que aborden y corrijan vulnerabilidades identificadas de manera oportuna;
4.2.14. Establece y mantiene un inventario de proveedores de servicios, aplicando las due diligences (comprobaciones debidas) de seguridad y privacidad a todos los terceros que forman parte de su plantilla de prestación de servicios;
4.2.15. Designa personal para gestionar el manejo de incidentes, estableciendo y manteniendo datos de contacto para notificar inmediatamente incidentes de seguridad, a través de un proceso corporativo definido para reportar los incidentes.
5. Capacitación y concientización
5.1. RD Station establece y mantiene un programa de concientización de seguridad con sus empleados, proveedores, clientes y todo individuo, inteligencia artificial o sistema que tenga credenciales de acceso a cualquiera de sus activos.
5.2. Capacita a los miembros del personal para detectar ataques de ingeniería social, así como sobre las mejores prácticas de autenticación, mejores prácticas de procesamiento de datos, causas de la exposición involuntaria de datos, reconocimiento y comunicación de incidentes de seguridad, además de formas para identificar y notificar si los activos corporativos carecen de actualizaciones de seguridad y los peligros de conectar y transmitir datos corporativos a través de redes inseguras.
6. Retención, disponibilidad y respaldo de datos
6.1. Los registros de conexión a Internet y las aplicaciones de Internet se rigen en conformidad con el punto VI del artículo 5º de la Ley brasileña 12.965/2014, Marco Civil de Internet, y también por la siguiente información:
6.1.1. Fecha y hora de inicio y finalización de la conexión a Internet y/o a la aplicación de Internet, duración de la conexión, dirección IP y puerto lógico correspondiente al origen, así como el huso horario del servidor o sistema utilizado para proveer el acceso.
6.1.2. RD Station guarda los registros de conexión a las aplicaciones online proporcionadas por sí misma por un período de 05 (cinco) años.
6.1.3. Los registros, tanto de conexión a Internet como de conexión a aplicaciones de Internet, pueden estar disponibles:
6.1.3.1. Por solicitud del titular de los datos personales;
6.1.3.2. Por orden judicial;
6.1.3.3. Para defender los derechos del cliente.
6.2. Realizamos copias de seguridad periódicas de los datos de los usuarios para garantizar la integridad y disponibilidad de dichos datos.
6.3. Las copias de seguridad se almacenan de forma segura y se utilizan exclusivamente para fines de recuperación en caso de fallo del sistema o pérdida de datos.
7. Responsabilidad del cliente con la seguridad de la información
7.1. Como usuario de nuestros servicios, el cliente comparte la responsabilidad de la seguridad de la información. Esto incluye, pero no se limita a:
7.1.1. Mantener la confidencialidad y no compartir sus credenciales de acceso;
7.1.2. No compartir sus contraseñas con terceros;
7.1.3. Utilizar contraseñas seguras y actualizarlas periódicamente;
7.1.4. Proteger sus dispositivos contra accesos no autorizados.
7.2. Notificar inmediatamente todo uso indebido o sospechoso de las cuentas o cualquier violación de seguridad.
7.3. Asegurarse de que los datos que almacena y comparte a través de nuestro servicio cumplen con las leyes y regulaciones aplicables.
7.4. Cumplir a cabalidad con nuestros términos de uso y pautas de seguridad al utilizar nuestros servicios.
7.5. Al colaborar y compartir información a través de nuestro servicio, debe tener en cuenta las implicaciones de seguridad y privacidad y actuar de manera responsable en función de estas.
8. Respuesta a incidentes de seguridad
8.1. Mantenemos un plan de respuesta a incidentes de seguridad que abarca procedimientos para hacer frente a las violaciones de datos, filtraciones de información y otras amenazas de seguridad.
8.2. Notificaremos cualquier violación de datos que pueda afectar a la información personal de los clientes de conformidad con las leyes aplicables.
9. Mejora constante
9.1. El SGSI está sujeto a revisiones periódicas para mejorar su aplicabilidad, idoneidad y eficacia.
10. Revisión y notificación de la política general de seguridad de la información
10.1. La Política de Seguridad de la Información será revisada anualmente o siempre que se produzcan cambios significativos, con el fin de garantizar su continua aplicabilidad, adecuación y eficacia.
10.2. Todos y cada uno de los cambios serán difundidos ampliamente a nuestros clientes a través de los canales oficiales de RD Station.
Actualizado el 06/12/2023
Versión: 12.01-2023-12-06