UAB “Ruptela” adopta todas las medidas organizativas y técnicas necesarias para garantizar la seguridad de los datos procesados y proteger los datos personales tratados frente a cualquier destrucción, pérdida, alteración, divulgación no autorizada o acceso ilícito, ya sea accidental o intencional.
La seguridad de los datos personales y su tratamiento dentro de la organización están documentados como parte de la política de seguridad de la información. Esta política de seguridad se revisa y actualiza de manera anual.
Antes de asumir sus funciones, se solicita a los empleados que revisen y acepten la política de seguridad de la organización y que firmen los correspondientes acuerdos de confidencialidad y de no divulgación.
La organización garantiza que todos los empleados comprendan sus responsabilidades y obligaciones relacionadas con el tratamiento de datos personales. Los roles y responsabilidades se comunican claramente durante el proceso de precontratación y/o inducción.
Asimismo, la organización asegura que todos los empleados estén debidamente informados sobre los controles de seguridad de los sistemas de TI que se relacionan con su trabajo diario. Los empleados involucrados en el tratamiento de datos personales también reciben información sobre los requisitos de protección de datos y las obligaciones legales aplicables mediante campañas periódicas de concienciación.
Además, se ha designado un Responsable de Protección de Datos (Data Protection Officer), quien es responsable de la protección de datos dentro de la organización, la difusión del conocimiento y el cumplimiento del RGPD. El Responsable de Protección de Datos puede ser contactado por correo electrónico en: dpo@ruptela.com.
Los derechos de control de acceso específicos se asignan a cada empleado involucrado en el tratamiento de datos personales, siguiendo el principio de “necesidad de conocer”. La política de control de acceso está detallada y debidamente documentada. La organización ha definido las reglas de control de acceso, derechos y restricciones apropiadas para los empleados en relación con los procesos y procedimientos de datos personales, especialmente durante reorganizaciones, despidos o cambios de funciones.
El acceso a los recursos internos de Ruptela está protegido y gestionado mediante Active Directory. La autenticación multifactor de O365 está habilitada para todos los usuarios. Los sistemas distintos de O365 que contienen datos de clientes solo son accesibles desde la red interna por empleados autorizados con cuentas únicas. El acceso se revoca inmediatamente tras la finalización del contrato laboral. Cada seis meses se realiza una auditoría de cuentas para garantizar que no existan accesos no autorizados.
Todos los cambios realizados en el sistema de TI son registrados y supervisados por el empleado asignado.
Las soluciones de Ruptela utilizan SSL/TLS con algoritmos de cifrado de alto nivel para proteger los puntos de servicio expuestos externamente. Además, Ruptela emplea IPSec VPN con cifrado de alta seguridad para proteger la comunicación entre sitios remotos o puntos de servicio.
Las copias de seguridad se realizan al menos una vez al día. Todos los datos almacenados en bases de datos de producción cuentan con réplicas. La base de datos de coordenadas se replica en tres nodos independientes (quórum). Los usuarios finales no tienen permiso para eliminar información directamente a nivel de base de datos.
Ruptela utiliza soluciones de registro que rastrean los cambios realizados en las máquinas virtuales. Las acciones de los usuarios del sistema (inicio y cierre de sesión, eliminación, ingreso de datos) también se supervisan y pueden identificarse mediante la dirección IP del usuario.
Ruptela ha establecido los procedimientos y controles principales para garantizar el nivel requerido de continuidad y disponibilidad de los sistemas de TI que procesan datos personales en caso de un incidente o una violación de datos personales. El plan de continuidad del negocio se prueba periódicamente para evaluar si es posible garantizar un servicio ininterrumpido ante un incidente.
Ruptela ha establecido un plan de respuesta a incidentes de seguridad que garantiza una gestión eficaz de los incidentes relacionados con la seguridad de los datos personales. Los incidentes y violaciones de datos se registran y se comunican a la dirección sin demoras indebidas. Existen procedimientos de notificación establecidos para informar a las autoridades competentes y a los titulares de los datos cuando sea necesario.
Se han definido, documentado y acordado formalmente directrices y procedimientos para el tratamiento de datos personales por parte de encargados del tratamiento (contratistas o servicios externalizados) antes del inicio de cualquier actividad de tratamiento.
Al seleccionar los sistemas de información necesarios para las actividades de la organización, se evalúa su impacto en la protección de datos conforme al RGPD. Solo se utiliza software certificado, el cual se actualiza de manera periódica.
El acceso a las instalaciones está protegido mediante un sistema de control de acceso.
Todas las estaciones de trabajo cuentan con protección antivirus, utilizan el sistema operativo Microsoft Windows 10 con las actualizaciones de seguridad más recientes y están gestionadas de forma centralizada. Los discos duros de las estaciones de trabajo están cifrados.
Todas las consultas de los clientes se registran en un sistema centralizado, especificando la hora de la consulta. El acceso al sistema está protegido mediante contraseña. El sistema gestiona incidentes, cambios y consultas, garantizando una gestión centralizada de incidencias y modificaciones. La calidad del funcionamiento de los sistemas del cliente se asegura mediante monitoreo continuo, donde cada evento se registra y analiza de forma centralizada. Los incidentes se gestionan conforme a un plan de respuesta establecido, informando a las personas responsables y, si es necesario, conformando un Equipo de Gestión de Continuidad del Negocio. Se realizan pruebas y capacitaciones periódicas conforme al plan de continuidad del negocio.
Las correcciones críticas e importantes de vulnerabilidades de seguridad del software se implementan en todos los sistemas.
Ruptela aloja sus servidores en dos centros de datos certificados Tier 3 y Tier 3 Design. Los datos se almacenan dentro del Espacio Económico Europeo y no se transfieren a terceros países.