POLÍTICA DE PROTECCIÓN

[Última actualización: 3 de julio de 2018]

Avanquest Software SAS conocida bajo el nombre de «Avanquest Software SAS» (en adelante «la compañía» o «nosotros») considera que la seguridad de la información es un tema serio y ha creado este resumen y política de protección (en adelante, la «Política de seguridad») para dar a conocer sus prácticas a la hora de resguardar los Datos personales que se procesan en nuestros servicios, productos y sitios web (en adelante, los «servicio(s)»). Hemos implementado las siguientes medidas técnicas y organizacionales para proteger los Datos personales que procesamos ante posibles pérdidas, hechos ilícitos y destrucción, alteraciones, divulgación y acceso no autorizados, etc.

Como parte de nuestro proceso de cumplimiento del Reglamento General de Protección de Datos («RGPD») hemos elaborado esta Política de seguridad para brindarle un resumen de las medidas de seguridad y políticas que contiene; además, le pedimos a nuestros socios y empleados que se ajusten a esta normativa e implementen las mismas medidas de seguridad al trabajar con nosotros.

ESTA POLÍTICA DE SEGURIDAD DETALLA LAS MEDIDAS DE SEGURIDAD DE LA COMPAÑÍA, VIGENTES DESDE LA FECHA DE «ÚLTIMA ACTUALIZACIÓN» QUE SE INDICA AL INICIO. SEGUIREMOS ACTUALIZANDO ESTA POLÍTICA OPORTUNAMENTE, EN VIRTUD DE LA NORMATIVA VIGENTE Y DE NUESTRAS POLÍTICAS INTERNAS.

Control de accesos al sistema

La base de datos de la Compañía es accesible para un pequeño número de empleados y personal de la Compañía únicamente; el acceso sólo es posible desde las oficinas de la Compañía. El acceso a los sistemas es limitado y se basa en procedimientos que garantizan la obtención de autorizaciones de acceso a los fines estrictamente requeridos. Asimismo, el acceso remoto y la funcionalidad inalámbrica de los ordenadores son limitados y requieren medidas de protección tanto del usuario como del sistema. Los sistemas también están protegidos y sólo pueden acceder a ellos empleados autorizados, mediante un sistema de protección con una contraseña y un nombre de usuario designados.

Control de accesos físicos

La Compañía controla todo ingreso a sus oficinas. La Compañía controla el ingreso a sus oficinas y se asegura de que únicamente personas autorizadas, como los empleados, puedan acceder a ellas. Los visitantes y las personas ajenas a las Compañía que visitan sus instalaciones son escoltados por los empleados de la Compañía en todo momento. La Compañía trabaja con el centro de datos de iWeb Web Services, como su principal servidor de almacenamiento, por lo que, si necesita más información, la Compañía recomienda consultar el sitio web: https://iweb.com/legal/gdpr. Los Datos personales siempre se transfieren de modo seguro y encriptado a los servidores que correspondan. Además, la Compañía ha celebrado acuerdos vinculantes y pertinentes de procesamiento de datos con sus proveedores y clientes.

Control de accesos a datos

El acceso a la base de datos, al sistema o al centro de almacenamiento se realiza únicamente por medio de autorización y de un sistema de protección con contraseña. Además, el acceso a los Datos personales está restringido a aquellos empleados que «necesitan conocerlos», y está protegido con contraseñas y nombres de usuario. El acceso a los Datos personales es controlado y estrictamente regulado por políticas de control de acceso. La Compañía implementa medidas de seguridad de alto nivel para garantizar que los Datos personales no puedan visualizarse, modificarse, copiarse, utilizarse, transferirse o eliminarse sin la debida autorización. La Compañía supervisa todo acceso a la base de datos y todo acceso autorizado es informado y gestionado de inmediato. Los empleados pueden únicamente realizar actividades comprendidas dentro de los permisos que determina la Compañía. Todo acceso se registra y supervisa; y todo acceso indebido se informa automáticamente. Asimismo, la Compañía revisa permanentemente los permisos de los empleados, para evaluar si siguen siendo necesarios. La Compañía revoca el acceso de inmediato al finalizar la relación laboral. Los individuos autorizados solo pueden acceder a los Datos personales que están delimitados en sus perfiles individuales.

Seguridad organizacional y operacional

La Compañía capacita a sus empleados y proveedores de servicios, consultores y contratistas; y los concientiza sobre el análisis de riesgo con respecto al procesamiento de Datos personales. La seguridad interna se evalúa periódicamente. El equipo informático de la Compañía garantiza la seguridad del hardware y del software al instalar software antimalware en los ordenadores para protegerlos del uso malintencionado y del software malicioso así como detección de virus en los puntos terminales, escaneo de los archivos adjuntos en el correo electrónico, diagnósticos del sistema, opciones de gestión de la información para el exportador de datos basados en el tipo de datos, seguridad de redes, y análisis de vulnerabilidades del sistema y de la aplicación, transferencia segura de datos por correo electrónico, etc. Es responsabilidad individual de cada integrante de la compañía ajustarse a estas prácticas y estándares.

Control de transferencia

El propósito del control de transferencia consiste en garantizar que los Datos personales no puedan ser leídos, copiados, modificados o eliminados por terceros no autorizados durante la transferencia electrónica de esta información o durante su transporte o almacenamiento en el centro de datos correspondiente. Además, las trasferencias de datos (ya sea entre servidores, del cliente al servidor o entre los socios designados de la Compañía) están protegidas (protocolo HTTPS) y encriptadas.

Control de disponibilidad

Los servidores de la Compañía incluyen un procedimiento de copia de seguridad automatizado. La Compañía tiene un protocolo de copias de seguridad que incluye copias de seguridad automatizadas diarias. Se realizan controles periódicos para determinar si las copias de seguridad fueron realizadas. La Compañía se ha asegurado de que todos los documentos, incluidos los acuerdos, los términos de la política de seguridad en línea, etc., cumplan con lo dispuesto en el RGPD. Nuestro equipo legal se ha asegurado de que nuestra documentación legal esté actualizada para reflejar todo cambio e incluir las disposiciones obligatorias que establece el RGPD.

Conservación de datos

Los Datos personales y primarios se eliminan tan pronto como sea posible o como lo indique la normativa.

Control de empleados

Los empleados, clientes y encargados correspondientes han firmado acuerdos vinculantes que incluyen disposiciones vigentes en materia de datos y de seguridad de los datos. Como parte del proceso de selección de personal, los empleados son evaluados y se les otorga acceso a la base de datos solo una vez que han recibido capacitación para ello, a fin de garantizar que cuenten con la capacitación adecuada y responsabilidad para gestionar los Datos personales. Los empleados se obligan a cumplir esta Política de Protección así como las políticas de protección y procedimientos internos. El incumplimiento de alguna de estas disposiciones traerá como consecuencia sanciones disciplinarias. Para asegurar que los empleados estén adecuadamente capacitados y actualizados respecto de las políticas y la normativa vigente, la Compañía organiza capacitaciones anuales de cumplimiento, que incluyen formación sobre protección de datos.

ADVERTENCIA: ESTA POLÍTICA NO CONSTITUYE UN ASESORAMIENTO JURÍDICO PARA QUE SU COMPAÑÍA UTILICE AL DAR CUMPLIMIENTO A LA LEGISLACIÓN EUROPEA SOBRE PROTECCIÓN DE DATOS, COMO EL RGPD, SINO QUE PROVEE INFORMACIÓN GENERAL PARA AYUDARLO A ENTENDER CÓMO NOSOTROS, EN AVANQUEST SOFTWARE, HEMOS ABORDADO ALGUNOS ASPECTOS LEGALES IMPORTANTES. ESTA INFORMACIÓN LEGAL NO EQUIVALE A UN ASESORAMIENTO JURÍDICO, QUE IMPLICA QUE UN ABOGADO APLICA LA LEGISLACIÓN A SUS CIRCUNSTANCIAS PARTICULARES, POR LO QUE LE RECOMENDAMOS QUE CONSULTE A UN ABOGADO SI NECESITA ASESORAMIENTO EN LA INTERPRETACIÓN DE ESTA INFORMACIÓN O SU EXACTITUD. NO DEBE BASARSE EN ESTE DOCUMENTO A MODO DE ASESORAMIENTO JURÍDICO, NI A MODO DE RECOMENDACIÓN SOBRE UNA INTERPRETACIÓN LEGAL DE NINGÚN TIPO.