Todas las colecciones
Otro
Política de seguridad informática
Política de seguridad informática

Medidas técnicas para proteger los datos de los clientes del acceso, uso, modificación o divulgación no autorizados.

Alvaro Galan avatar
Escrito por Alvaro Galan
Actualizado hace más de una semana

Resumen

En Sage HR nos tomamos muy en serio la protección de los datos de nuestros clientes. La presente Política de seguridad informática de Sage HR recoge las medidas técnicas y organizativas implementadas en la plataforma por Sage HR a fin de proteger los datos de los clientes del acceso, uso, modificación o divulgación no autorizados.

Utilizamos la nube de Amazon Web Services (AWS) para ofrecer nuestros servicios. Esta política describe las actividades de Sage HR en la infraestructura de AWS salvo si se especifica lo contrario. Para saber más información sobre Sage HR, recomendamos consultar nuestros Términos y condiciones y Política de privacidad.

Buenas prácticas

Plan de respuesta ante incidentes de seguridad

  • Hemos implementado un procedimiento formal en caso de incidentes de seguridad y formado a todos los empleados sobre nuestras políticas.

  • Cuando se detecta un incidente de seguridad, este es escalado a nuestro alias de emergencia y se notifica a los empleados quienes se organizan para atajar rápidamente el problema.

  • Tras solucionarse el incidente de seguridad, redactamos un análisis post mortem.

  • Examinamos el análisis en persona y lo distribuimos a todos los empleados. El análisis incluirá medidas que facilitarán la detección y prevención de un incidente similar en el futuro.

  • Sage HR informará inmediatamente a los clientes por escrito sobre las violaciones de las normas de seguridad de los servicios de Sage HR que afecten a sus datos tras su confirmación. El comunicado contendrá el tipo de violación y el estado de la investigación de Sage HR.

Automatización de procesos de desarrollo

  • Tenemos implementado un proceso de automatización y lo utilizamos frecuentemente, lo cual nos permite introducir cambios de manera fiable y segura en nuestra aplicación en cuestión de minutos.

  • Normalmente implementamos código en producción una vez a la semana y tenemos plena confianza en nuestra capacidad para crear rápidamente un parche de seguridad si es necesario.

Infraestructura

  • Todos nuestros servicios se ejecutan en la nube. Sage HR no tiene enrutadores, balanceadores de carga, servidores de DNS ni servidores físicos propios.

  • Todos los servicios y datos se alojan en las instalaciones de AWS en Irlanda y están protegidos por la seguridad de AWS, tal y como se describe en https://aws.amazon.com/security/.

  • Amazon no revela la ubicación exacta de sus centros de datos. De esta manera, Sage HR desarrolla sus servicios bajo la protección de los controles físicos y ambientales de seguridad ofrecidos por AWS. Para saber más sobre la infraestructura de seguridad de AWS, recomendamos consultar https://aws.amazon.com/security/.

  • Sage HR utiliza un sistema de copia de seguridad en los almacenes de datos que contienen información de los clientes. Las instantáneas creadas se cifran en reposo mediante un cifrado multifactor del lado del servidor con claves administradas por Amazon S3 (SSE-S3).

Datos

  • Todos los datos de los clientes se almacenan en la Unión Europea (UE).

  • Los datos de los clientes se albergan en almacenes de datos multi-tenant (varios usuarios). No tenemos almacenes de datos individuales para cada cliente, sin embargo, adoptamos controles estrictos de privacidad en nuestro código de aplicación diseñados para garantizar la privacidad de los datos y evitar el acceso por parte de un cliente a los datos de otro cliente (por ej., aislamiento lógico). Llevamos a cabo muchas pruebas de integración y comportamiento para garantizar que dichos controles de privacidad funcionen según lo esperado. Las pruebas se ejecutan cada vez que se actualiza el código base y, con tan solo no pasar una de ellas, el código nuevo no se enviará a producción.

  • Todos los sistemas de Sage HR utilizados para procesar los datos de los clientes han sido configurados y optimizados adecuadamente mediante métodos comercialmente razonables según los estándares reconocidos por la industria de refuerzo de la seguridad de sistemas.

  • Sage HR colabora con varios subprocesadores para procesar los datos de los clientes. Dichos subprocesadores se enumeran en la política de “Terceros” y están sujetos a posibles modificaciones periódicas por parte de Sage HR.

  • Hacemos una copia de seguridad de los datos de los clientes cada 24 horas. Además, guardamos copias de seguridad de 4 semanas y de 12 meses. Todas las copias de seguridad de más de 12 meses se borran automáticamente.

  • Nuestros datos de producción y copias de seguridad se cifran en reposo mediante el cifrado de bloques AES-256.

  • Cuando se elimina una cuenta de un cliente, almacenamos los datos en nuestras copias de seguridad durante 12 meses. Si es necesario borrar todos los datos, se ha de contactar con soporte.

Transferencia de datos

  • Todos los datos enviados a Sage HR o desde Sage HR se cifran en tránsito mediante el cifrado de 256 bits.

  • Los puntos finales de nuestra API y aplicación están cifrados únicamente con TLS/SSL y tienen una calificación de “A” en las pruebas de SSL Labs. Esto significa que solo usamos sistemas seguros de cifrado.

Autenticación

  • Sage HR opera completamente en un servidor HTTPS.

  • No hay recursos empresariales ni privilegios adicionales por estar en la red de Sage HR.

  • Contamos con políticas de contraseñas difíciles de descifrar y autenticación de múltiples factores en GitHub, Google, AWS y Sage HR para garantizar un acceso seguro a los servicios de la nube.

Permisos y controles de administrador

  • Sage HR permite varios niveles de permisos que se pueden configurar para cualquier empleado con acceso a Sage HR.

  • Los permisos y el acceso pueden configurarse de manera que incluyan la configuración de la aplicación, la facturación o los datos de los usuarios.

  • Es obligatoria la autenticación en dos pasos (2FA) para todos los empleados de Sage HR que accedan al sistema de administración de Sage HR.

Monitorización de aplicaciones

  • En cuanto a las aplicaciones, creamos registros de auditoría para todas las actividades.

  • Todos los accesos a las aplicaciones de Sage HR se registran y auditan.

  • Todas las acciones realizadas en las aplicaciones de Sage HR se registran.

Auditorías de seguridad y certificaciones

  • Sage HR cumple con el estándar ISO 27001 en conformidad con el organismo normativo de Reino Unido, BSI (certificado IS 692128).

  • Colaboramos anualmente con prestigiosos auditores externos para la auditoría de nuestro código base y trabajamos con ellos en la resolución de problemas potenciales.

  • Para encontrar información sobre las certificaciones de seguridad de AWS y obtener copias de los informes de seguridad de AWS, recomendamos consultar http://aws.amazon.com/compliance/pci-data-privacy-protection-hipaa-soc-fedramp-faqs/

  • Nuestros datos se almacenan en un centro de datos que cumple con los últimos estándares y requisitos como ISO27001, SOC 1 y SOC 2/SSAE, entre otros. Para saber más: https://aws.amazon.com/security/

  • Está programada una auditoría SOC2 de Sage HR para el año 2021.

Proceso de pago

Stripe se encarga de todo el proceso de pago en las compras de los servicios de Sage HR. Para más información sobre las prácticas de seguridad de Stripe, recomendamos visitar https://stripe.com/docs/security/stripe.

Responsabilidades del cliente

  • Gestionar las cuentas de usuario y los roles desde los servicios de Sage HR.

  • Proteger la propia cuenta y las credenciales de usuario mediante contraseñas largas o habilitando el inicio de sesión único (SSO) para todos los empleados que acceden a los servicios de Sage HR.

  • Cumplir las condiciones del acuerdo de los servicios con Sage HR, incluidas las relacionadas con el cumplimento de las leyes.

  • Comunicar inmediatamente a Sage HR si las credenciales de un usuario corren peligro o se percata de posibles actividades sospechosas que podrían afectar la seguridad de los servicios de Sage HR o su cuenta.

  • No podrá llevar a cabo pruebas de penetración de seguridad ni tareas de evaluación de la seguridad sin el consentimiento expreso, por escrito y con antelación de Sage HR.

Acuerdo de nivel de servicio (SLA)

El presente acuerdo de nivel de servicio (“SLA”) de Sage HR acompaña las Condiciones del servicio de suscripción de Sage HR (el "Acuerdo") celebrado entre usted ("Cliente") y Sage HR. Los términos en mayúscula utilizados en este SLA que no se definan aquí tienen el significado otorgado en el Acuerdo.

  1. Objetivo de Disponibilidad. Sage HR hará esfuerzos comercialmente razonables para que todos los Servicios estén disponibles durante un tiempo activo del 99,8 % cada mes natural ("Objetivo de Disponibilidad").

  2. Exclusiones. El cálculo del tiempo activo no incluye la indisponibilidad si esta es debida a: (a) un uso del Servicio por el Cliente de manera diferente a la autorizada en este Acuerdo o en los Documentos pertinentes; (b) problemas generales de internet, casos de fuerza mayor u otros factores que escapen al control razonable de Sage HR; (c) equipo, software, conexiones de red u otras infraestructuras del cliente; (d) sistemas, actos u omisiones de terceros; o (e) Mantenimiento Programado o mantenimiento razonable de emergencia.

  3. Mantenimiento Programado. El "Mantenimiento Programado" se refiere al mantenimiento periódico programado de los Servicios de Sage HR, el cual será notificado por Sage HR al Cliente con al menos veinticuatro (24) horas de antelación. El Mantenimiento Programado no superará las ocho (8) horas al mes. No se notificará al Cliente si el Mantenimiento Programado dura menos de diez (10) minutos.

  4. Reparación en caso de incumplimiento del Objetivo de Disponibilidad. En caso de un incumplimiento confirmado del Objetivo de Disponibilidad de un Servicio durante dos (2) meses consecutivos, el Cliente podrá cancelar el Periodo de Suscripción en curso enviando un aviso por escrito sobre dicha cancelación en los siguientes treinta (30) días después de la finalización del segundo mes, en cuyo caso Sage HR reembolsará al Cliente cualquier pago que el Cliente haya abonado por anticipado en concepto de uso del Servicio durante la porción de tiempo cancelada del Periodo de Suscripción en curso. Dicho derecho de cancelación y reembolso son las únicas y exclusivas reparaciones al Cliente y son de responsabilidad única y exclusiva de Sage HR, debido al incumplimiento del Objetivo de Disponibilidad por parte de Sage HR.

Terceros

Sage HR colabora con varios subprocesadores que procesan los datos personales enviados a los servicios de Sage HR. Dichos subprocesadores se enumeran a continuación y están sujetos a posibles modificaciones periódicas por parte de Sage HR:

Amazon Web Services
Amazon.com Inc.
https://aws.amazon.com/compliance/gdpr-center/
PO Box 81226, Seattle, WA 98108-1226, Estados Unidos
Servidor y almacenamiento de datos


CloudFlare
CloudFlare, Inc.
https://www.cloudflare.com/gdpr/introduction/
665 3rd Street, Suite 200, San Francisco, CA 94107, Estados Unidos
Red de entrega de contenido y servicio de mitigación de DDoS

Convert API
UAB Baltsoft

https://www.convertapi.com/security/

Lauksargio 111,

Vilnius, LT-10105,

Lituania

Google
Google, Inc.
https://www.google.com/intl/ru_ALL/cloud/security/gdpr/
1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos
Calendario, visualización de documentos & integración de inicio de sesión único (solo se utiliza el SSO cuando está habilitada la integración de G Suite)


Intercom
Intercom, Inc.
https://www.intercom.com/help/pricing-privacy-and-terms/data-protection/how-intercom-complies-with-gdpr
55 2nd Street, 4th Floor, San Francisco, CA 94105, Estados Unidos
Atención al cliente y chat

Papertrail
SolarWinds Inc.
https://help.papertrailapp.com/kb/how-it-works/security-compliance/#general-data-protection-regulation-gdpr
7171 Southwest Parkway, Bldg 400, Austin, Texas 78735, Estados Unidos
Registro de eventos del sistema

Pusher
Pusher Ltd
https://pusher.com/legal/data-protection
28 Scrutton Street, London, EC2A 4RP, Reino Unido
Notificaciones push para la aplicación móvil

Scout
Scout
https://docs.scoutapm.com/#gdpr
320 East Vine Drive, Suite 221, Fort Collins, Colorado 80524, Estados Unidos
Monitorización del rendimiento de las aplicaciones

Stripe
Stripe, Inc.
https://stripe.com/guides/general-data-protection-regulation
185 Berry Street, Suite 550, San Francisco, CA 94107, Estados Unidos
Procesamiento de pagos con tarjeta

SendGrid
SendGrid, Inc.
https://sendgrid.com/resource/general-data-protection-regulation/
1801 California Street, Suite 500, Boulder, CO 80202, Estados Unidos
Envío de correos electrónicos

Sentry
Functional Software, Inc.
https://sentry.io/security/#gdpr
1 Baker Street, Suite 5B, San Francisco, CA 94117, Estados Unidos
Registro de errores

Slack
Slack Technologies, Inc.
https://slack.com/gdpr
155 5th Street, 6th Floor, San Francisco, CA 94103, Estados Unidos
Chat interno (solo se utiliza cuando está habilitada la integración de Slack)


Sqreen
Sqreen, Inc.
https://docs.sqreen.com/guides/gdpr/
188 King St., San Francisco, CA 94107, Estados Unidos
Monitorización de la seguridad y protección


Zapier
Zapier Inc.
https://zapier.com/help/account/data-management/gdpr-compliance-at-zapier
548 Market St. #62411. San Francisco, CA 94104, Estados Unidos
Integración de datos

Última actualización: 15/7/2021

¿Ha quedado contestada tu pregunta?