Nuestro compromiso con la seguridad de la información

Nuestro compromiso con la seguridad de la información

En Salesupply, estamos dedicados a salvaguardar sus datos con medidas robustas de seguridad y privacidad. Esta guía interactiva describe nuestro enfoque integral para proteger la información que se nos confía. Explore nuestros pilares de seguridad a continuación.

Nuestro marco de seguridad

Esta sección describe las políticas, la gobernanza y las certificaciones fundamentales que forman la columna vertebral de nuestro Sistema de Gestión de la Seguridad de la Información (SGSI). Haga clic en cada tema para obtener más información.

Políticas formales

Tenemos una Política de Seguridad de la Información claramente documentada, aprobada por nuestra Junta Directiva el 8 de enero de 2021. Esta política se distribuye a través de un sistema en línea y es obligatoria para todo el personal de Salesupply. Se revisará anualmente. Nuestros Acuerdos de Procesamiento de Datos (DPA) con clientes y sub-procesadores definen aún más nuestros compromisos de protección y privacidad de datos.

Gestión de riesgos

Nuestra Política de Seguridad de la Información establece que los riesgos identificados están sujetos a una evaluación de riesgos, y el plan de evaluación y tratamiento de riesgos se desarrolla en base a las directrices ISO 27005.

Responsabilidad dedicada

La Junta Directiva es responsable de la Política de Seguridad de la Información. El Gerente de Seguridad de la Información (CTO) es responsable de mantener y coordinar el Sistema de Gestión de la Seguridad de la Información (SGSI).

Certificaciones

Nuestros servidores están alojados en centros de datos con certificación ISO 27001, lo que garantiza los más altos estándares de seguridad física y ambiental.

Protección de datos: medidas organizativas

Nuestras personas y procesos son fundamentales para nuestra seguridad. Aquí detallamos los controles organizativos que tenemos en marcha para proteger sus datos a lo largo de su ciclo de vida.

Verificación de empleados y confidencialidad

Se realizan verificaciones de antecedentes a los nuevos empleados, incluida la obtención de referencias profesionales. Todos los empleados firman contratos de trabajo que incluyen cláusulas de confidencialidad y un reconocimiento de la Política de Seguridad de la Información. Todo el personal es responsable de proteger la información y de informar sobre incidentes de seguridad. Se utilizan Acuerdos de No Divulgación (NDA) con nuestros socios.

Derecho de auditoría

Nuestros Acuerdos de Procesamiento de Datos incluyen derechos de auditoría para el Responsable (nuestro cliente) para verificar el cumplimiento, con un aviso razonable y sin costo adicional según el acuerdo.

Gestión de activos y eliminación segura

Todos los activos de información están registrados y tienen propietarios asignados. La eliminación segura de los medios se lleva a cabo de acuerdo con los procedimientos documentados para evitar fugas de datos de los activos retirados.

Gestión de incidentes

Nuestra Política de Seguridad de la Información detalla la gestión de incidentes, incluidos los canales de notificación, la investigación y la comunicación a las partes afectadas. Nuestros Acuerdos de Procesamiento de Datos requieren que Salesupply notifique al Responsable sin demoras indebidas después de tener conocimiento de una violación de datos personales.

Diligencia debida del proveedor

Nuestros Acuerdos de Procesamiento de Datos enfatizan el requisito de que Salesupply se asegure de que los sub-procesadores cumplan con las regulaciones de protección de datos y de informar al responsable sobre los cambios previstos con respecto a los sub-procesadores. La Política de Seguridad de la Información establece que «los proveedores que procesan activos de información de Salesupply o de sus clientes deben cumplir con los requisitos de esta política».

Continuidad del negocio

Existe un Plan de Continuidad del Negocio (BCP) para minimizar la interrupción de los servicios en caso de eventos inesperados, asegurando la resiliencia y la disponibilidad de nuestros servicios.

Medidas de seguridad técnicas robustas

Empleamos un enfoque técnico de múltiples capas para proteger nuestros sistemas y sus datos de las amenazas. A continuación se presentan los controles técnicos clave que hemos implementado.

Seguridad del punto final

El cifrado de disco completo (BitLocker) se implementa en todas las computadoras portátiles utilizando un mínimo de AES-256. Todos los medios extraíbles están deshabilitados. No se permite el uso de dispositivos móviles privados para fines de la empresa. Los usuarios regulares no tienen derechos de administrador local en sus computadoras.

Seguridad física

Las oficinas de Salesupply cuentan con sistemas de seguridad, sistemas de alarma, videovigilancia y control de acceso mediante tarjetas de acceso. Nuestros centros de datos con certificación ISO 27001 cuentan con controles de acceso físico, vigilancia y alarmas.

Seguridad de la red

Los cortafuegos controlan el tráfico de la red y bloquean el acceso no autorizado. Separación de entornos de desarrollo, prueba y producción. Redes inalámbricas seguras utilizando WPA2-Enterprise y Control de Acceso a la Red (NAC). Protección contra malware La protección avanzada contra malware (antivirus, anti-spyware) está instalada en todos los servidores y puntos finales y se mantiene continuamente actualizada.

Comunicaciones seguras

Acceso remoto seguro (VPN) con autenticación multifactor (MFA). Acceso restringido y monitoreado a las interfaces administrativas. Métodos de transferencia de datos encriptados (VPN, SSL/TLS, SFTP) para todo el intercambio de datos.

Detección de intrusiones

Se implementan sistemas de detección y prevención de intrusiones (IDS/IPS) para monitorear el tráfico de la red en busca de actividad maliciosa y violaciones de políticas.

Refuerzo del sistema

Los sistemas se configuran de acuerdo con las mejores prácticas de la industria y las bases de seguridad (por ejemplo, CIS Benchmarks, NIST) para reducir su superficie de ataque.

Registro y monitoreo

Se mantienen registros del sistema y pistas de auditoría para los sistemas críticos. El registro de datos personales se minimiza. Los registros se revisan regularmente para detectar incidentes de seguridad y actividades inusuales.

Copia de seguridad y disponibilidad de datos

Se realizan copias de seguridad periódicas de los datos críticos y se prueba su integridad. Se implementa redundancia para los sistemas críticos para garantizar una alta disponibilidad.