Volver a las características
76x
001631
2021-02-25

Anexo 2 del Acuerdo AV: Medidas técnicas y organizativas

A continuación, una descripción de las principales medidas de Dlubal para el cumplimiento de las normas de protección de datos de conformidad con el art. 32 del RGPD. Sin embargo, se debe señalar que no se pueden revelar todas las medidas de seguridad; más bien, particularmente en interés de la protección y seguridad de los datos, es indispensable renunciar a descripciones confidenciales y detalladas.

1 Confidencialidad (art. 32 párr. 1 let. b del RGPD)

1.1 Control de acceso físico

Medidas adecuadas para denegar el acceso de personas no autorizadas a los sistemas de procesamiento de datos con los que se procesan o utilizan datos personales:

  • Solo se puede acceder a las instalaciones de la oficina a través de una entrada central. Las áreas de acceso están monitoreadas con una cámara y ocupadas por el personal de recepción. En caso de que no haya personal de recepción presente, las puertas de acceso se cierran y aseguran con un sistema de alarma.
  • Las salas de servidores están además bajo llave permanente y solo es accesible para el personal autorizado.
  • Solución de problemas del producto de Dlubal en el que se almacenan datos personales, si es necesario
  • Los sistemas de servidores importantes fuera de las instalaciones de la oficina están protegidos en un centro de datos mediante una autorización de persona de múltiples factores, videovigilancia vinculada a la policía y contra ataques terroristas.

1.2 Control de acceso electrónico

Medidas adecuadas para evitar que personas no autorizadas utilicen los sistemas de procesamiento de datos:

  • Los datos solo están disponibles para los empleados de Dlubal en la medida necesaria a través de un sistema CRM basado en roles, gestionable con derechos configurables.
  • Los empleados tienen derechos de acceso basados en funciones.
  • Los equipos están protegidos por la autenticación con un nombre de usuario y contraseña (Active Directory).
  • Contraseñas con mayor seguridad (estructura, longitud, fecha de caducidad).
  • Los sistemas externos están conectados a través de túneles VPN. Solo se permite el acceso a direcciones conocidas a través de una lista blanca de IP. Toda la comunicación externa está encriptada.
  • Los sistemas informáticos están provistos de software antivirus de forma centralizada.
  • Las redes de datos están protegidas con cortafuegos.
  • Solo las personas específicamente autorizadas tienen acceso a los sistemas del servidor.

1.3 Control de acceso interno

Medidas que garantizan que las personas autorizadas para el uso de un sistema de procesamiento de datos solo puedan acceder a los datos dentro de su privilegio de acceso, y que los datos personales no se puedan leer, copiar, modificar o eliminar sin autorización durante el procesamiento, uso y después del almacenamiento :

  • Derechos: Todos los servicios utilizan el modelo de acceso "denegar de forma predeterminada". Solo las personas y grupos autorizados tienen acceso apropiado. La matriz de derechos de cada servicio individual se supervisa y se puede exportar al panel de administración para cada * servicio. Todos los derechos son administrados por los administradores del sistema. El número de administradores del sistema se reduce al mínimo.
  • Archivos de registro: Los servidores de almacenamiento en red poseen registros de auditoría que incluyen el historial de versiones de los archivos (CRUD). El servidor de Active Directory registra cada consulta de autorización a los servicios en la red.
  • Sistema de control de versiones: Todos los datos en la red están protegidos mediante instantáneas VSS y BTRFS. Las bases de datos están protegidas mediante instantáneas cada hora.

1.4 Control de separación

Medidas que aseguran que los datos recopilados para diferentes propósitos se puedan procesar por separado:

  • Almacenamiento separado físicamente en sistemas o soportes de datos separados
  • Creación de un concepto de autorización
  • Cifrado de conjuntos de datos, que se procesan con el mismo propósito
  • Asignación de atributos de finalidad/campos de datos a conjuntos de datos
  • Establecimiento de los derechos de la base de datos
  • Separación lógica de los datos del cliente según la competencia y la función

1.5 Seudonimización y cifrado (art. 32 (1) let. un RGPD; art. 25 (1) del RGPD)

El procesamiento de datos personales de tal manera que los datos no se puedan atribuir a un interesado específico sin la consulta de información adicional, siempre que esta información adicional se almacene por separado y esté sujeta a las medidas técnicas y organizativas apropiadas:

Si es posible para el procesamiento de datos respectivo, las características de identificación principales de los datos personales se eliminan de la aplicación de datos respectiva y se almacenan por separado.

2 Integridad (art. 32 párr. 1 let. b del RGPD)

2.1 Control de entrada

Medidas que aseguran que es posible comprobar y determinar retroactivamente si los datos personales se han introducido, modificado o eliminado en los sistemas de procesamiento de datos, y por quién:

  • Registro de la entrada, modificación y eliminación de datos
  • Trazabilidad de la entrada, modificación y eliminación de datos a través de nombres de usuario individuales
  • Asignación de derechos para la entrada, modificación y eliminación de datos basada en un concepto de autorización
  • Gestión de documentos

2.2 Control de la transferencia de datos

Medidas que aseguran que los datos personales no se puedan copiar, modificar o eliminar sin autorización en el curso de la transmisión electrónica, o durante su transporte o almacenamiento en soportes de datos:

  • El servidor de correo electrónico utiliza el Marco de políticas del remitente (SPF) para evitar el uso no autorizado de nuestros dominios. De esta manera, el destinatario del correo electrónico puede comprobar si el correo electrónico se origina en un servidor autorizado.
  • Los correos electrónicos se firman con firmas DKIM para garantizar la autenticidad.
  • Los correos electrónicos confidenciales también se pueden cifrar mediante un cifrado de extremo a extremo.
  • Los servicios de FTP y VPN funcionan con encriptación SSL/TLS.

3 Disponibilidad y resiliencia (art. 32 (1) let. b del RGPD)

3.1 Control de disponibilidad

Medidas que aseguran que los datos personales estén protegidos contra la destrucción o pérdida accidental:

  • Concepto de copia de seguridad y recuperación
  • Sistema de alimentación ininterrumpida (SAI)
  • Duplicación del disco duro
  • Uso de sistemas RAID
  • Sistemas de datos BTRFS y ReFS para la detección y corrección de errores, así como para la prevención de la pérdida oculta de datos
  • Clústeres de alta disponibilidad y duplicación de datos y servicios en varias ubicaciones
  • Copia de seguridad de las conexiones a Internet y los enrutadores para evitar tiempos de inactividad prolongados
  • Memoria ECC en todos los servidores para detectar errores de memoria, modificaciones de datos y pérdida de datos
  • Agente de Microsoft System Data Protection Manager instalado en cada servidor
  • Copia de seguridad a través de DPM Storage al menos una vez al día
  • Copia de seguridad de Windows + iSCSI LUN
  • Los servicios importantes son monitoreados por herramientas de red e informan sobre servicios defectuosos, tiempos de inactividad, ataques DoS y DDoS.
  • Sala de servidores segura
  • Tableros de protección en la sala de servidores
  • Inspección periódica del equipo eléctrico por una empresa especializada
  • Detectores de humo e incendios, equipos de extinción de incendios
  • Planes de emergencia y gestión de crisis
  • Cortafuegos con antivirus y detección, protección y prevención de intrusos (AV/IDS/IDP, Zywall Security Gateway)
  • ESET Mail Security para Exchange para proteger el servidor de correo electrónico contra spam, virus, ransomware, estafas, etc.
  • ESET Security Antivirus en todos los equipos como protección de usuarios finales con ESET Remote Administration Console
  • ClamAV antivirus de código abierto para la protección de los servidores de red y el almacenamiento
  • Actualizaciones periódicas del sistema gestionadas a través de WSUS
  • Política de grupo de Active Directory para todos los equipos

3.2 Recuperabilidad

Medidas que permiten que la disponibilidad de los datos personales y el acceso a los mismos se restablezcan rápidamente después de un incidente físico o técnico: Todos los datos están protegidos contra pérdidas mediante copias de seguridad periódicas. Diferentes herramientas permiten recuperar estos datos con el mínimo esfuerzo en caso de incidentes físicos o técnicos. Las medidas específicas son:

  • Concepto de copia de seguridad y recuperación
  • Copia de seguridad a través de DPM Storage al menos una vez al día
  • Copia de seguridad de Windows + iSCSI LUN

4 Procedimientos para la revisión, valoración y evaluación periódicas (art. 32 (1) let. d del RGPD; art. 25 (1) del RGPD)

4.1 Gestión de la privacidad

  • Cursos de formación para empleados en protección de datos
  • Obligación de los empleados de tratar confidencialmente los datos personales
  • Designación de un delegado de protección de datos
  • Directrices para empleados para el tratamiento de datos personales
  • Mantener un registro de las actividades de procesamiento iSd Art. 30 (1) y (2) del RGPD
  • Implantación de un sistema de gestión de protección de datos

4.2 Control de la aplicación

Las medidas que garantizan que los datos personales que se procesan en el pedido solo se pueden procesar de acuerdo con las instrucciones del cliente en el sentido del art. 28 del RGPD:

  • Diseño claro del contrato
  • Gestión de pedidos formalizados
  • Selección del contratista bajo consideración cuidadosa
  • Instrucciones por escrito al contratista a través del contrato de procesamiento de datos
  • Obligación de confidencialidad del contratista
  • Supervisión continua del contratista y sus actividades