Declaración de seguridad – Evalnova Consulting

ÚLTIMA ACTUALIZACIÓN: 23 DE MAYO DE 2018

La siguiente Declaración de Seguridad se aplica a todos los productos, los servicios, las páginas web y las aplicaciones que ofrece Evalnova Consulting, S.L., en adelante Evalnova. En esta Declaración, se hace referencia colectivamente a esos productos, servicios y páginas web como los “Servicios”.
Evalnova valora la confianza que depositan en él sus clientes al confiarnos la custodia de sus datos. Tomamos muy en serio nuestra responsabilidad de proteger y custodiar su información y procuramos garantizar la total transparencia respecto de nuestras prácticas de seguridad, que se describen más abajo. Asimismo, nuestra Política de Privacidad describe las maneras en que utilizamos sus datos.

Seguridad física

Los sistemas de información y la infraestructura técnica de Evalnova se alojan en centros de datos de primera clase, con certificación SOC 2 ubicados en Alemania, Francia y España. Los controles físicos de seguridad en nuestros centros de datos incluyen supervisión las 24 horas, los 7 días de la semana, cámaras, registros de visitantes, requisitos de ingreso y jaulas dedicadas para el hardware de Evalnova.

Control de acceso

Solo se permite acceder a los recursos tecnológicos de Evalnova a través de una conexión segura (p. ej., redes privadas virtuales, Secure Shell), que requiera autenticación multifactor. Nuestra Política de Contraseñas exige que sean complejas, tengan un vencimiento, no se puedan volver a utilizar y bloqueen el acceso de ser necesario. Evalnova otorga acceso solo en los casos necesarios de acuerdo con los parámetros de menores privilegios, revisa los permisos en forma trimestral y revoca el acceso inmediatamente después de la desvinculación de un empleado.

Políticas de Seguridad

Evalnova revisa y actualiza sus políticas relacionadas con la seguridad de la información, como mínimo en forma anual. Los empleados deben leer y aceptar estas políticas cada año, además de realizar capacitaciones adicionales, codificación segura y capacitación en seguridad y desarrollo de competencias específica para cada tarea y en legislación sobre privacidad para funciones clave. El cronograma de capacitación está diseñado para observar todas las especificaciones y reglamentaciones que se aplican a Evalnova.

Personal

Evalnova realiza una verificación de antecedentes al contratar a su personal (en la medida en que lo permitan la legislación aplicable y los distintos países). Asimismo, Evalnova informa sus políticas sobre seguridad de la información a todo su personal (que debe aceptarlas), exige que los nuevos empleados firmen acuerdos de confidencialidad y brinda capacitación continua en temas de privacidad y seguridad.

Gestión de la vulnerabilidad y pruebas de penetración

Evalnova cuenta con un programa documentado de gestión de la vulnerabilidad que incluye escaneos periódicos, identificación y corrección de las vulnerabilidades de seguridad en los servidores, las estaciones de trabajo, el equipo de red y las aplicaciones. Todas las redes, incluidos los entornos de prueba y producción, se examinan periódicamente a través de proveedores externos de confianza. Se aplican parches críticos a los servidores en función de su prioridad y según resulte apropiado para todos los demás parches.
Además, llevamos a cabo pruebas de penetración internas y externas en forma periódica y realizamos las correcciones necesarias en función de la gravedad de los resultados detectados.

Codificación

Codificamos sus datos en tránsito mediante protocolos criptográficos Transport Layer Security seguros.

Desarrollo

Nuestro equipo de desarrollo utiliza técnicas y mejores prácticas de codificación segura, que se centran en torno a los 10 riesgos principales según el Proyecto Abierto de Seguridad de Aplicaciones. Los desarrolladores reciben capacitación formal en prácticas de desarrollo de aplicaciones web seguras, tanto al momento de su contratación como en forma anual.
Se utilizan entornos de desarrollo, prueba y producción separados. Todos los cambios están sujetos a revisión por parte de colegas del mismo nivel y se registran con fines de rendimiento y de auditoría antes de implementarlos en el entorno de producción.

Gestión de incidentes de seguridad de la información

Evalnova cuenta con políticas y procedimientos de respuesta ante incidentes de seguridad que abarcan la respuesta inicial, la investigación y la notificación al cliente (con al menos el mismo nivel de exigencia que el que establece la legislación aplicable), al igual que la comunicación al público y la subsanación de errores. Estas políticas se revisan periódicamente y se evalúan semestralmente.

Notificación de violaciones

A pesar de que se hacen los mejores esfuerzos, ningún método de transmisión por Internet ni ningún método de almacenamiento electrónico es perfectamente seguro. No podemos garantizar una seguridad absoluta. No obstante, en caso de que Evalnova detecte una violación a la seguridad, notificaremos a los usuarios afectados para que puedan tomar las medidas de protección correspondientes. Nuestros procedimientos de notificación de violaciones guardan coherencia con las obligaciones emanadas de la legislación aplicable a cada país, al igual que con las leyes y reglamentaciones estatales y federales y las reglas o normas de la industria en la que operamos. Asumimos el compromiso de mantener plenamente informados a nuestros clientes respecto de todo asunto pertinente a la seguridad de su cuenta, y de proporcionarles la información necesaria para cumplir con sus propias obligaciones de presentación de informes reglamentarios.

Aspectos de seguridad de la información de la gestión de continuidad de los negocios

En forma rotativa, se realizan copias de seguridad de las bases de datos de Evalnova, con copias de seguridad completas e incrementales, que se verifican en forma periódica. Las copias de seguridad se codifican y se almacenan dentro del entorno de producción a fin de preservar su confidencialidad e integridad. Además, se evalúan periódicamente para garantizar su disponibilidad.

Sus responsabilidades

Para garantizar la seguridad de sus datos, también es necesario que usted mantenga la seguridad de su cuenta utilizando contraseñas lo suficientemente complejas, que se deben almacenar de manera segura. Además, debe asegurarse de contar con medidas de seguridad suficientes en sus propios sistemas. Ofrecemos cifrado Transport Layer Security para mantener segura la transmisión de las respuestas de las encuestas, pero es su responsabilidad garantizar que ese componente esté habilitado para utilizarse en sus encuestas cuando corresponda.

Registro y supervisión

Los sistemas de las aplicaciones y la infraestructura registran la información en un registro controlado centralmente, que luego es sometido a resolución de problemas, revisiones de seguridad y análisis por parte del personal autorizado de Evalnova. Los registros se conservan de conformidad con los requisitos regulatorios. En una medida razonable, proporcionamos asistencia a nuestros clientes, al igual que acceso a los registros en caso de un incidente de seguridad que afecte a su cuenta.