Política de Seguridad de los servicios en la nube

Política de seguridad de los servicios en la nube proporcionados por NUMINTEC

El presente documento establece las políticas y medidas técnicas y organizativas que aplican a los servicios en la nube proporcionados por NUMINTEC.

1. MEDIDAS DE SEGURIDAD GENERALES

POLÍTICAS DE LA ORGANIZACIÓN

Política de seguridad y privacidad de la información

Existe una política de seguridad de la información y protección de datos personales publicada y conocida por todo el personal y colaboradores

Responsable de seguridad

NUMINTEC ha designado un Responsable de Seguridad de la Información (“CISO”) como responsable de coordinar y supervisar las políticas, normativas y procedimientos de seguridad. Sus responsabilidades incluyen la definición de las políticas de seguridad de la información, la verificación del cumplimiento de estas políticas, la evaluación de riesgos para la seguridad de la información, la determinación de las medidas técnicas y organizativas necesarias para mitigar los riesgos, y la supervisión del desempeño de los controles implantados.

Roles y responsabilidades en materia de seguridad de la información y protección de la privacidad

Los roles y responsabilidades en materia de seguridad de la información y protección de la privacidad están definidos y asignados apropiadamente dentro de la organización. El personal de NUMINTEC que gestiona los Servicios que contienen Datos del Cliente está sujeto a obligaciones de confidencialidad y a la normativa de seguridad de la información y protección de datos personales.

Programa de gestión de riesgos

En el marco del Sistema de Gestión de la Seguridad de la Información existe un plan de evaluación y tratamiento de riesgos de seguridad de la información y se revisa periódicamente.

Evaluación continua

NUMINTEC realiza una verificación y evaluación periódica de la eficacia de las medidas técnicas y organizativas implantadas para proteger la seguridad en la información en los sistemas de tratamiento, centros de trabajo y usuarios que los utilizan. Esta evaluación y revisión se realiza bajo el criterio de los estándares de seguridad de la industria y las propias políticas y procedimientos determinados por el Sistema de Gestión de la Seguridad de la Información.

Política de seguridad y privacidad de proveedores

Existe un proceso formal que permite valorar el cumplimiento de los requisitos de seguridad información y protección de la privacidad que deben cumplir los proveedores que tratan información y datos personales. Únicamente se da acceso a la información a los proveedores cuando exista una necesidad legítima que justifique este acceso.

PERSONAL Y COLABORADORES

Responsabilidades

Asimismo, todo el personal de NUMINTEC se ha comprometido a cumplir y hacer cumplir las políticas y normativas de seguridad de la información de la empresa.

Compromiso de confidencialidad

Todo el personal y colaboradores de NUMINTEC firman un documento de carácter contractual mediante el que se obligan a guardar secreto y garantizar la confidencialidad y seguridad respecto de los datos a los que pudiera tener acceso por razones de su responsabilidad laboral, contractual o de cualquier otro tipo. Tendrá la consideración de información confidencial, cualquier información (comercial, técnica, administrativa u otras) de NUMINTEC y sus clientes, sobre sus asuntos comerciales, tecnología, maquinaria, procesos, productos, planos, instalaciones y dependencias, que antes de ser recibidas por el trabajador o trabajadora no estaban en su conocimiento o poder sin obligación de confidencialidad.

Normativa interna de seguridad de la información

Existe una normativa de seguridad de la información, protección de datos personales y uso de los medios informáticos que todo el personal y colaborades se ha comprometido a cumplir. Dicho documento incluye la advertencia de que el incumplimiento de dichas obligaciones constituye una falta grave de indisciplina o desobediencia en el trabajo y, por tanto, será sancionable.

Formación y concienciación

Todo el personal de NUMINTEC recibe una formación adecuada con respecto a la seguridad de la información y la protección de los datos personales. Asimismo, periódicamente se realizan actividades y acciones de concienciación dirigidas a todo el personal

Normas de uso de los sistemas de información

La normativa de seguridad de la información establece las normas de uso aceptable de los sistemas de información y equipos que el personal tiene a su cargo.

Prohibición de uso personal de los equipos corporativos

Se ha establecido que no se permite el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de la información corporativa y los datos personales. Tampoco se permite el acceso a información corporativa desde equipos particulares.

SEGURIDAD EN EL PUESTO DE TRABAJO

Equipos desatendidos

Se ha establecido un mecanismo para que cuando un equipo quede desatendido se proceda al bloqueo de la pantalla o al cierre de la sesión.

Información en la nube

NUMINTEC trata toda la información mediante servicios en la nube, por lo que no se almacena información sensible en los equipos de trabajo.

Teletrabajo seguro

Se ha establecido una política para que el teletrabajo se pueda realizar de forma segura. Toda la actividad de Numintec se puede realizar en modalidad de teletrabajo.

Custodia de documentación

Se ha establecido una normativa para que en ningún momento quede documentación en papel o soportes de información sin custodia en el puesto de trabajo.

Seguridad en los dispositivos móviles

Se ha establecido una política para proteger el uso de los dispositivos móviles y la información que puedan contener.

ACCESO A LOS SISTEMAS

Política de control de accesos

NUMINTEC mantiene una política de control de acceso que determina los privilegios de seguridad de las personas que tienen acceso a la información bajo el principio de mínimo privilegio.

Autorización de acceso

Existe un proceso formal para gestionar la autorización, alta, baja y modificación de accesos de los usuarios a los sistemas.

Cuentas individuales

Cada persona utiliza una cuenta de usuario individual e intransferible.

Mínimo privilegio

NUMINTEC ha definido y aplica una política de mínimo acceso por defecto, que garantiza que el personal y colaborades únicamente tienen acceso a la información que requieren para desempeñar las labores de su puesto de trabajo

Cuentas con acceso privilegiado

Para realizar tareas de administración y configuración de los sistemas se utilizan cuentas de acceso nominales con derechos privilegiados que son diferentes y segregadas de las cuentas de uso ordinario de los sistemas.

Autenticación

NUMINTEC utiliza prácticas estándares del sector para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información. Para acceder a aquellas redes más expuestas o para la administración de sistemas se utilizan sistemas de doble factor de autenticación. Todos los sistemas incluyen controles para evitar los intentos reiterados de conseguir acceso a los sistemas de información mediante una contraseña inválida.

Seguridad de las contraseñas

Se garantizará la existencia de políticas de contraseñas (o mecanismos equivalentes) para el acceso a los sistemas y aplicaciones que cumplen como mínimo lo siguiente:
● Longitud de la contraseña: mínimo 8 caracteres
● Renovación periódica de las contraseñas
● Requisitos de complejidad de las contraseñas
● Límites a la reutilización de contraseñas

Confidencialidad de las contraseñas

Existe una normativa para asegurar la confidencialidad de las contraseñas, evitando que queden expuestas o sean compartidas con terceros. Internamente, todas las contraseñas se guardan aplicando algoritmos de cifrado irreversibles.

Registros de accesos

Se mantiene y supervisa un registro de los accesos e intentos de acceso a los sistemas

ACTIVOS DE TRATAMIENTO DE LA INFORMACIÓN

Inventario de activos

Se dispone de un inventario de los sistemas y equipos utilizados en el tratamiento de la información, con la información de la persona que es responsable de dicho equipo.

Desecho y reutilización segura

Se han definido procesos formales para el desecho y/o reutilización segura de los equipos de tratamiento de la información.

Mantenimiento de los equipos

Los sistemas y equipos utilizados para el tratamiento de la información están debidamente mantenidos u actualizados

Protección contra malware

Los equipos en los que se procesa o almacena información disponen de protección antimalware permanentemente activa y actualizada.

Actualización del software

Todo el software que se utiliza para el tratamiento de la información está debidamente actualizado y sin vulnerabilidades graves conocidas.

Bastionado de los sistemas

Se han aplicado medidas de bastionado de los sistemas tales como, entre otras:
● Tener solamente abiertos los puertos indispensables
● Desactivar todos los servicios no estrictamente necesarios
● Bloquear o cambiar las contraseñas por defecto de las cuentas con acceso privilegiado
● Cifrado de los discos que contienen la información

Limitación a la instalación de software por parte de los usuarios

Existe una normativa o medidas técnicas para impedir que el personal pueda instalar software no autorizado en sus equipos de trabajo, así como para que no se pueda utilizar software que pueda violar la propiedad intelectual de terceros.

Limitación de privilegios de administración

Se han implantado medidas técnicas para que los usuarios no puedan modificar o desactivar las configuraciones de seguridad de los equipos

SEGURIDAD DE RED

Equipo de seguridad dedicado

La supervisión de la seguridad y el sistema de alertas forma parte integral de las operaciones, proporcionando un control de la seguridad 24×7 y un equipo siempre disponible para dar respuesta a alertas e incidentes.

Protección y segregación de redes

A nivel 2 la infraestructura está protegida por medio de VLAN, lo que garantiza que en cada puerto de comunicaciones solo se pueden acceder a los recursos imprescindibles para la prestación del servicio al que están destinados. A nivel 3 y superiores la seguridad de la infraestructura está basada en una doble capa de seguridad de cortafuegos. Las conexiones a operadores y circuitos privados (Telefónica, ONO, etc…) se encuentran aisladas del resto de la infraestructura por VLANs y reglas específicas de acceso, asegurando la opacidad entre redes. A la red DMZ únicamente puede accederse para los servicios que se ofrecen a los clientes, que son los siguientes:
● Servicios web: HTTP y HTTPS
● Servicios de voz: SIP (TLS) y RTP
● Otros servicios relacionados con los servicios de voz: DNS, NTP, SMTP, Netflow, SNMP.

Arquitectura

La infraestructura de red está alojada en dos centros de datos, uno gestionado por Evolutio y otro gestionado por MBA Datacenters (Bitnap). Ambos disponen de certificación ISO 27001. En estas ubicaciones están los servidores que albergan las aplicaciones y bases de datos que se utilizan en la compañía y toda la electrónica de red para garantizar el acceso y la seguridad. Ambos centros de datos actúan de forma redundante, pudiendo ejecutarse servicios propios de NUMINTEC tanto en un centro de datos como en otro.

Seguridad perimetral en la red

Existe una doble capa de seguridad de cortafuegos para filtrar el tráfico de red entrante no autorizado de Internet y denegar cualquier tipo de conexión de red que no esté explícitamente autorizada:
● Cortafuegos externos: Esta capa protege la DMZ donde se encuentran todos los equipos y las conectividades de la plataforma en la nube de la compañía con el exterior, tanto las de circuitos públicos a Internet como los circuitos privados de clientes, VPNs y conexiones con operadores.
● Cortafuegos internos: Esta capa separa la red de acceso desde el exterior donde pueden acceder los clientes, de la capa de servidores internos que permiten los servicios y aplicaciones de la compañía, donde no pueden acceder los clientes. El acceso administrativo al cortafuegos está monitorizado y restringido a los empleados autorizados.

Protocolos seguros de transmisión de la información

Todo el tráfico en las redes de la organización, especialmente cuando discurre total o parcialmente por redes públicas, está cifrado mediante protocolos seguros y sin vulnerabilidades graves conocidas (por ejemplo, mínimo TLS 1.2)

Escaneo de vulnerabilidades de red

Periódicamente se realizan pruebas para verificar que las redes están libres de vulnerabilidades y se aplican las medidas correctoras necesarias. El escaneo activo de seguridad de red se ejecuta activamente en todas las subredes para la identificación rápida de sistemas que no cumplen con los requisitos o que son potencialmente vulnerables. Los escaneos pasivos programados también se ejecutan para todas las subredes internas o privadas, así como todas las DMZ o subredes públicas que enfrentan puertos expuestos (http / https).

Pruebas de penetración

Además de nuestro procedimiento interno de supervisión, como mínimo una vez al año NUMINTEC realiza una amplia prueba de penetración (pentest) en las redes y servidores de producción frente ataques de terceros.

Gestión de alertas de seguridad (SIEM)

Nuestro sistema de supervisión colecciona registros actividad de tanto en los sistemas en la DMZ como en la red interna. El SIEM envía alertas sobre los sucesos que notifican al equipo de seguridad correspondiente para su investigación y respuesta.

Detección y prevención de intrusiones

Los puntos de entrada y salida del flujo de datos de la aplicación se controlan con los Sistemas de detección de intrusiones (IDS) o los Sistemas de prevención de intrusiones (IPS). Esto está integrado con SIEM y las operaciones 24/7.

Mitigación DDoS

NUMINTEC monitoriza el tráfico de red en tiempo real para inspeccionar el tráfico entrante. Para realizar la mitigación automática de la mayoría de las técnicas DDoS los firewalls protegen contra todos los ataques de infraestructura conocidos (Capa 3 y 4).

OPERACIONES DE SEGURIDAD

Acceso lógico

NUMINTEC utiliza una arquitectura de seguridad basada en roles y requiere que los usuarios del sistema se identifiquen y autentiquen antes de acceder a cualquier recurso del sistema, con privilegios de acceso granulares y específicos por empleado Los recursos de producción y todas las acciones administrativas se registran y almacenan durante al menos 2 años con protecciones específicas y copias de seguridad para evitar que se modifiquen los registros de auditoría. Todos los recursos de producción se gestionan en el sistema de inventario de activos y a cada activo se le asigna un propietario. Los propietarios son responsables de aprobar el acceso al recurso y de realizar revisiones periódicas del acceso por rol. El acceso a cualquier red o subsistema de administración de NUMINTEC está determinado por una política de “necesidad de conocer” según lo determinado por los controles ISO27001 e ISO27017.

Supervisión y gestión de la capacidad

NUMINTEC ha implantado un proceso de supervisión de los sistemas y gestión de la capacidad, para monitorizar de forma continua el desempeño de los sistemas, supervisar el uso de los recursos y ajustar la utilización de los recursos, así como realizar proyecciones de los requisitos futuros de capacidad, para garantizar el rendimiento requerido de los sistemas

Respuesta a Incidentes de seguridad

En caso de una alerta del sistema, los sucesos se escalan a nuestros equipos las 24 horas, los 7 días de la semana, que brindan cobertura de operaciones, ingeniería de redes y seguridad. Asimismo, los clientes tienen a su disposición el equipo de Servicio de Atención Técnica a Clientes (SAT) para dar respuesta a cualquier incidente que puedan detectar. Los empleados están capacitados en los procesos de respuesta a incidentes de seguridad controlados tanto en ISO 9001 como en ISO 27001. Adicionalmente, NUMINTEC dispone de un procedimiento de respuesta a ciberataques que establece los mecanismos necesarios para la detección, contención, respuesta y recuperación ante ataques a nuestras redes y sistemas.

Gestión de cambios

NUMINTEC dispone de un procedimiento de gestión de cambios mediante el cual se previene que cualquier cambio pueda afectar a la seguridad de la información y los servicios. Dado el caso de que el cambio pueda afectar al servicio, el procedimiento contempla la obligación de informar a los clientes de forma previa de cambios, que proporciona información suficiente para que el cliente pueda valorar el impacto, y se proporciona información sobre la planificación del cambio y posibles alteraciones en la disponibilidad del servicio.

Registros de auditoría

Se recogen, conservan y revisan los registros de auditoría de las operaciones realizadas sobre los datos (acceso, modificación y eliminación).

CIFRADO DE DATOS

Cifrado de datos en tránsito

Toda la información en tránsito se transmite siempre de forma segura dentro de lo posible y teniendo en cuenta los requisitos específicos de cada cliente. Los protocolos de servicios expuestos a Internet directamente son HTTP/HTTPS y SIP por TLS, habilitando únicamente las versiones más recientes y seguras. En cuanto al protocolo HTTPS, NUMINTEC realiza test de penetración de red para asegurarnos que los cifrados permitidos no son vulnerables a ataques y aplicamos las actualizaciones y configuraciones de seguridad necesarias. Las comunicaciones con servicios de terceros por necesidades de los clientes (integraciones, webservices) se realizan preferentemente utilizando HTTPS.

Cifrado de llamadas

En cuanto al protocolo SIP por medio de TLS se utiliza SSLv3 para negociar el protocolo de cifrado más alto (TLS 1.1 o 1.2) que se utilizará para la comunicación de los teléfonos a nivel de señalización (orden de llamar, recibir llamadas, transferir, etc.). El audio, a elección del cliente, se puede transmitir forzado por protocolo seguro SRTP según el RFC3711. Se debe remarcar que estos cifrados son opcionales según las necesidades de los distintos clientes y sus tipos de terminal, ya que algunos terminales no soportan cifrado. En cuanto a los distintos cifrados soportados para el protocolo SIP, tener en cuenta que a pesar de que se permiten algunos cifrados débiles, los teléfonos negocian siempre el cifrado superior dentro de los compatibles, por lo que el grado de seguridad de la encriptación depende en parte del tipo de terminal utilizado. Podemos garantizar la encriptación en nuestro sistema para llamadas internas, pero lamentablemente no es posible para llamadas que provengan o se destinen a la PSTN en su tramo público, una vez que enviamos las llamadas al proveedor de servicio. Esto es debido a que los proveedores no soportan encriptación en las llamadas, ya que la red telefónica no está diseñada para ello. No obstante, en la medida de lo posible utilizamos canales encriptados (MPLS) para la comunicación con proveedores de telefonía, lo que añade una capa extra de seguridad al menos en el tramo entre nosotros y el proveedor que finalmente enruta la llamada a la PSTN. Se debe hacer notar que NUMINTEC dispone de la capacidad de desencriptar llamadas para poder proveer servicios al cliente a demanda (grabación o escucha) y para la intercepción legal de las comunicaciones, tal y como dicta la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, y la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

Cifrado en almacenamiento

En cuanto a la encriptación de información almacenada en discos se utiliza dm-crypt luks ya que está bien soportada por el Kernel linux. Esto evita que, en el muy improbable caso de robo de discos de los servidores ubicados en los centros de datos, se pueda utilizar la información contenida en ellos

DISPONIBILIDAD Y CONTINUIDAD

Disponibilidad

NUMINTEC realiza una supervisión continua de la disponibilidad de nuestros sistemas y servicios con el objetivo de garantizar el cumplimento de los objetivos de disponibilidad del servicio comprometidos.

Redundancias

La redundancia está integrada en la infraestructura del sistema que soporta los servicios de producción para ayudar a garantizar que no haya un único punto de falla, incluidos firewalls, enrutadores y servidores. En caso de que falle un sistema primario, el hardware redundante está configurado para ocupar su lugar. Adicionalmente, dispone de sistemas en centros de datos redundante en Evolutio y BITNAP, pudiendo ejecutarse servicios propios de NUMINTEC tanto en un centro de datos como en otro.

Copias de Seguridad

Se realizan copias de seguridad de forma automatizada. El proceso de ejecución de las copias está supervisado y en caso de que se produzca algún error en la realización de las copias el personal de sistemas intervendrá para determinar la causa raíz del error y reanudar la ejecución de la copia. Se realizan copias de seguridad de:
● Máquinas virtuales: Copia de seguridad semanal en la cabina de alta disponibilidad, manteniéndose 2 versiones de todas las máquinas virtuales. Los datos de las aplicaciones contenidos en las máquinas virtuales son incluidos en estas copias de seguridad. Adicionalmente se hace una copia de seguridad adicional de las máquinas virtuales en el sistema S3 de Amazon, con una retención de un mes. Dado que la copia de seguridad se hace de forma semanal la retención es de 4 versiones de cada máquina virtual.
● Base de datos InvoxContact: Se realiza una copia de seguridad diaria de tipo Snapshot en Aurora. Además, se realiza una exportación completa de todas las bases de datos 1 vez por semana, manteniendo versiones como mínimo de 3 meses. Estas copias se conservan en un almacenamiento en el centro de datos alternativo, teniendo por tanto georedundancia de estas copias.

Supervisión de las copias de seguridad

Se supervisa de forma continua la ejecución correcta de las copias de seguridad.

Pruebas de recuperación

Se realizan pruebas periódicas de recuperación y verificación de información contenida en las copias de seguridad

Plan de continuidad

Se ha elaborado y probado un Plan de Continuidad para poder dar respuesta en plazos y condiciones adecuadas a aquellos incidentes que pudieran provocar una disrupción en los servicios contratados.

Procedimientos de recuperación ante desastres

Se dispone de procedimientos específicos de protección y recuperación ante amenazas que comprometan la integridad de la información, tal como los ataques por ransomware o fallos graves en la infraestructura tecnológica.

SEGURIDAD FÍSICA DE LOS ESPACIOS DE TRATAMIENTO

Perímetro de seguridad física

Existe un perímetro de seguridad para proteger los recintos y dependencias donde se procesa o almacena información.

Control de acceso

Se han implantado controles de acceso físico a las dependencias donde se realiza el tratamiento de la información para asegurar que únicamente el personal autorizado tiene el acceso permitido.

Protección contras las amenazas externas y ambientales

Se han establecido las medidas necesarias para proteger las personas, equipos e instalaciones esenciales en caso desastres naturales, ataques maliciosos o incidentes, tales como incendio, inundaciones, fugas de agua, fallos en el aire acondicionado, etc.

Instalaciones de suministro

Se han establecido las medidas necesarias para garantizar la continuidad del suministro eléctrico en aquellas instalaciones esenciales.

Seguridad de los centros de tratamiento de datos

Los servicios de NUMINTEC se ejecutan en servidores ubicados en centros de datos de EVOLUTIO y BINAP que disponen de certificaciones ISO 27001. En consecuencia, los controles de seguridad física están delegadas en estos proveedores: https://www.bitnap.net/MBADATACENTERS-iso.pdf https://www.aenor.com/certificacion/certificado/?codigo=4 2390 Estos centros de datos están ubicados en España.

Seguridad de los proveedores de servicios IaaS y PaaS

Los proveedores de servicios IaaS y PaaS proporcionan los controles de seguridad física necesarios y garantizados mediante las certificaciones oportunas, tal como ISO 27001, SOC 2, ENS (nivel Alto), PCI-DSS, y otras En este caso, se contratan los servicios en centros de datos ubicados en la UE.

2. SEGURIDAD EN LAS APLICACIONES

POLÍTICAS DE DESARROLLO SEGURO

Formación en seguridad

Periódicamente nuestros ingenieros y desarrolladores participan en programas de formación interna y externa relativa a principios de ingeniería de sistemas seguros, mejores prácticas de seguridad por diseño y desarrollo de código seguro.

Controles de seguridad en el código

NUMINTEC contempla todas las medidas de seguridad recomendadas por OWASP. Están incluyen las guías para proteger las aplicaciones con respecto las principales amenazas conocidas, tal como Injection, Broken Authentication, exposición de datos sensibles, Broken access control, Cross-Site Scripting XSS y Cross Site Request Forgery (CSRF) entre otros. Asimismo, el proceso de pruebas aplica todas aquellas verificaciones relevantes para nuestras aplicaciones incluidas en la guía de testing de la OWASP

QA

Durante el proceso de pruebas se revisa el código y se realizan pruebas detalladas antes de la puesta en producción de cualquier cambio. Asimismo, el proceso incluye la realización de pruebas de regresión para evitar impactos imprevistos debido a los cambios introducidos en el código, en las librerías y componentes utilizados y en los sistemas operativos donde se ejecutan las aplicaciones. El equipo de QA participa activamente en el ciclo de desarrollo, de forma que sus recomendaciones se contemplan desde el diseño.

Entornos separados

Los programadores trabajan en su equipo local sincronizando todo. Los entornos de prueba se conectan a bases de datos segregadas de producción, con datos ofuscados o ficticios. Los entornos de pruebas se encuentran en un entorno completamente separado del de producción, con servidores específicos para estos entornos.

3. CARACTERÍSTICAS DE SEGURIDAD DEL PRODUCTO

SEGURIDAD EN LA AUTENTICACIÓN

Opciones de autenticación

Para acceder a las aplicaciones web de la plataforma InvoxContact, los usuarios deben identificarse mediante sus propias credenciales de identificador de usuario y contraseña. En los casos en los que sea posible se utilizarán certificados SSL cliente firmados por la autoridad certificadora de Numintec (autofirmada) Adicionalmente, para los clientes que lo requieran se puede activar un proceso de autenticación en 2 fases (2FA) para proporcionar una capa adicional de protección a las cuentas con privilegios de administración.

Política de contraseñas

Las contraseñas solo pueden ser restablecidas por el usuario final con una dirección de correo electrónico activa (el nombre de usuario es la misma dirección de correo electrónico). Las políticas de contraseña implican el cumplimiento de un mínimo de requisitos de longitud y complejidad para asegurar que las contraseñas son robustas, así como políticas para forzar la renovación anual de las mismas. El mecanismo de asignación de contraseñas permite garantizar el secreto de las mismas, dado que el usuario puede establecer su propia contraseña a partir del primer acceso. Asimismo, el proceso de recuperación de contraseña garantiza que únicamente el usuario puede conocer la nueva contraseña.

Gestión de cuentas de usuario

Una vez activado el panel del cliente, el administrador del cliente puede gestionar sus propias cuentas de usuario para dar de alta o revocar los accesos para los agentes y supervisores de la organización. Los nuevos usuarios reciben un correo electrónico con las instrucciones y las credenciales temporales que deben ser modificadas por el propio usuario en el primer acceso. El administrador del panel del cliente puede determinar los

Acceso de administrador

El administrador del panel del cliente puede determinar Los técnicos de soporte técnico de NUMINTEC pueden acceder al servicio del cliente mediante sus propias credenciales de usuario, por lo que para atender las incidencias no requieren que el usuario les comunique las suyas propios, de modo que se garantiza el secreto de la contraseña de los usuarios.

Restricción de acceso en la aplicación

El administrador del panel del cliente puede establecer a qué aplicaciones y servicios tiene acceso cada usuario, y asignar sedes, agentes y/o supervisores a un usuario.

Registros de auditoría

Se realiza un registro de auditoria de todos los accesos y modificaciones realizadas desde la aplicación web InvoxContact. Estos registros pueden ser consultados por el administrador del panel del cliente.

Almacenamiento seguro de contraseñas.

NUMINTEC sigue las mejores prácticas de almacenaje seguro de contraseñas. Las contraseñas nunca se guardan en formato legible, generándose un cifrado unidireccional de las mismas que incluye el uso de bits aleatorios (salt). El tránsito de contraseñas entre el navegador y el servidor se protege mediante la utilización del protocolo HTTPS que implica el cifrado de los datos de los formularios enviados.

Seguridad del API

Las aplicaciones cliente únicamente acceden a los servicios en el servidor mediante un HTTPS full REST-API. Para hacer cualquier llamada, el cliente requiere disponer de un API Key secreto y haber superado el flujo de autorización de peticiones al API.

Seguridad en la transmisión de datos

Todas las comunicaciones a través de redes públicas con los servidores de NUMINTEC (de ida y vuelta) se cifran utilizando HTTPS. Esto garantiza que todo el tráfico de datos entre el cliente y NUMINTEC sea secreto durante el tránsito. Para las funciones en tiempo real, tal como el chat en tiempo real, NUMINTEC utiliza el protocolo websockets seguros como una alternativa HTTP complementaria segura y orientada a la transmisión.

4. PROTECCIÓN DE DATOS PERSONALES

MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Sistema de Gestión

NUMINTEC ha implantado un sistema de gestión de la de la privacidad de la informació que permite asegurar el cumplimiento de las obligaciones legales, el adecuado tratamiento de los riesgos para los derechos y libertades de los usuarios y un proceso de revisión y mejora continua de las políticas aplicadas.

Responsabilidades

NUMINTEC ha nombrado un Responsable de Protección de Datos personales a cargo de la supervisión del Sistema de Protección de Datos Personales. Sus responsabilidades incluyen la definición de las políticas de protección de los datos personales, la verificación del cumplimiento de estas políticas, la evaluación de riesgos en el tratamiento de datos personales, la determinación de las medidas técnicas y organizativas necesarias para mitigar los riesgos, la supervisión del desempeño de las medidas implicadas y la evaluación de cumplimiento normativo. Asimismo, todo el personal de NUMINTEC se ha comprometido a cumplir y hacer cumplir las políticas y normativas de protección de datos de la empresa.

Obligaciones

Todo el personal de NUMINTEC firma un documento de carácter contractual mediante el que se obligan al cumplimiento de las políticas de protección de datos personales Dicho documento incluye la advertencia de que el incumplimiento de dichas obligaciones constituye una falta grave de indisciplina o desobediencia en el trabajo y, por tanto, será sancionable.

Formación y concienciación

Todos los empleados de NUMINTEC participan en sesiones de concienciación y formación en la protección del tratamiento de los datos personales.

Medidas técnicas

Todos los tratamientos de datos personales están protegidos mediante las mismas medidas técnicas que aplican a toda la información de la empresa de acuerdo con la certificación ISO27001.

Política de privacidad

En los “Términos y condiciones generales de contratación de los servicios prestados por Numintec Comunicaciones”, NUMINTEC ha incluido una cláusula en la que establece la política de privacidad para la protección de datos personales. Dicha política incluye la información sobre las finalidades y legitimidad de los tratamientos, las categorías de datos tratados, los criterios de conservación de los datos, las posibles comunicaciones o cesiones de datos, y el procedimiento para que los interesados puedan ejercer sus derechos.

Encargo de tratamiento

Mediante las cláusulas de encargo de tratamiento includas en el Acuerdo de Tratamiento de Datos, NUMINTEC asume su responsabilidad como encargado de tratamiento de los datos que trata por cuenta de nuestros clientes necesarios para prestar los servicios contratados. Por tanto, NUMINTEC da garantías para:
● Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
● Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
● Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

Comunicación y cesión de datos

Los datos que NUMINTEC trata como encargado de tratamiento de nuestros clientes no serán cedidos ni comunicados a terceras partes excepto a:
● Empresas que, en calidad de encargados de tratamiento, nos prestan servicios relacionados con la actividad ordinaria y administrativa de la empresa tales como, entre otros, alojamiento de servicios web, servicios de aplicaciones de gestión en modalidad SaaS, archivo de ficheros en la nube y otros.
● Operadores de redes de telecomunicaciones que prestan servicios necesarios para el encaminamiento de las llamadas realizadas por los clientes de nuestros servicios hasta sus destinatarios.
● Entidades y organismos oficiales que lo requieran para atender las obligaciones con las Administraciones Públicas en los casos que así se requiera de acuerdo con la legislación vigente en cada momento y en su caso, igualmente a otros órganos como Fuerzas y Cuerpos de Seguridad del Estado y a los órganos Judiciales.

Transferencias internacionales de datos

La prestación de los servicios de NUMINTEC puede implicar el tratamiento de los datos personales por parte de empresas ubicadas en países fuera del Espacio Económico Europeo, en cuyo caso ser realiza únicamente cuando los países ofrecen un nivel adecuado de protección o, proporcionen garantías adecuadas tal como cláusulas contractuales tipo (SCC) adoptadas por la Comisión, con arreglo al artículo 46, apartado 2, del Reglamento (UE) 2016/679. En el caso de que el encaminamiento de las llamadas hasta su destinatario implique la transferencia de información a terceros países, esta estará amparada por los acuerdos de interconexión existentes en el marco de la legislación vigente en materia de telecomunicaciones.

Criterio de conservación

Tal como se especifica en las cláusulas de rescisión de contrato incluidas en los “Términos y condiciones generales de contratación de los servicios prestados por Numintec Comunicaciones”, transcurrido un plazo de noventa (90) días desde la desconexión o, dado el caso, el plazo estipulado en las condiciones del contrato, NUMINTEC elimina definitivamente los datos contenidos en nuestras bases de datos, excepto en aquellas circunstancias en que puedan derivarse obligaciones legales o responsabilidades de la ejecución de la prestación del servicio, en cuyo caso se podrá conservar una copia, con los datos debidamente bloqueados, hasta el cese de dichas responsabilidades u obligaciones.

PRIVACIDAD POR DISEÑO Y POR DEFECTO

Minimización de la recogida de datos

Únicamente se recogen los datos estrictamente necesarios para la finalidad para la que deben ser tratados.

Limitación del plazo de conservación de los datos

NUMINTEC ha establecido procedimientos para limitar la retención de los datos y evitar su conservación más allá de los plazos establecidos. Los archivos temporales creados como resultado del tratamiento son eliminados cuando dejan de ser necesarios.

Limitación de finalidad

NUMINTEC ha definido mecanismos para evitar que la información que se trata por cuenta del responsable pueda ser utilizada para finalidades diferentes de las establecidas en este Acuerdo de Tratamiento de Datos (ATD).

Pseudonimización y cifrado de datos

Dado el caso, se aplicarían medidas de pseudonimización y cifrado de los datos, especialmente cuando la información tratada incluye datos especialmente sensibles.

Segregación de información sensible

El acceso a la información más sensible está segregado de forma que únicamente puedan ser consultados y tratados por personal específicamente autorizado.

EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS

Procedimiento de respuesta

NUMINTEC ha definido un proceso formal para atender y asistir al responsable en la respuesta a las peticiones de ejercicio de los derechos de los interesados.

Comunicación de las peticiones de ejercicio de los derechos

NUMINTEC ha definido los canales para comunicar las peticiones de ejercicio de los derechos de los interesados al responsable del tratamiento.

Limitación de tratamiento

Existen mecanismos para limitar el tratamiento de los datos siempre que así sea requerido.

BRECHAS DE SEGURIDAD

Gestión de brechas de seguridad en datos personales

El procedimiento permite identificar cuando se produce una violación de seguridad de los datos personales y contemplar la notificación al responsable de forma inmediata y sin dilación indebida acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para evaluar el impacto y determinar las causas y medidas correctivas aplicadas.

Asistencia al responsable en la notificación de brechas de seguridad

Está previsto asistir al responsable a realizar la notificación de la violación de la seguridad a la autoridad de supervisión y, en su caso, a los interesados, teniendo en cuenta la información a disposición del encargado.

5. RELACIÓN CON PROVEEDORES

MEDIDAS GENERALES

Política de seguridad de proveedores

Existe un proceso formal que permite valorar el cumplimiento de los requisitos de seguridad información que deben cumplir los proveedores que tratan información y datos personales. Únicamente se da acceso a la información a los proveedores cuando exista una necesidad legítima que justifique este acceso.

Confidencialidad

Todos nuestros proveedores deben firmar compromisos de confidencialidad y acuerdos de no divulgación (NDA) para proteger el secreto de la información de NUMINTEC y de nuestros clientes

Certificación y homologación

Todos los proveedores que presten servicios que implique el tratamiento de información de NUMINTEC y de nuestros clientes en sus instalaciones, deben disponer de certificaciones ISO 27001 o equivalentes. En el caso particular de proveedores de servicios e infraestructura de tratamiento de la información en la nube (SaaS, IaaS, PaaS), las certificaciones ISO27001 o equivalentes deben cubrir en su alcance los servicios prestados a NUMINTEC. En caso de no disponer de dichas certificaciones, el proceso de homologación implica la verificación de la existencia garantías equivalentes adecuadas a los riesgos identificados y, incluso, la posibilidad de responder a auditorias de terceras partes para verificar el desempeño de las garantías aportadas.

Evaluación de los servicios

NUMINTEC tiene implantado un proceso de evaluación de proveedores que implica la revisión periódica del cumplimiento de las garantías de nivel de servicio (SLA) acordadas y el cumplimiento de los requisitos de los servicios establecidos.

Aseguramiento de la cadena de suministro

La política de NUMINTEC es la de garantizar la continuidad de nuestros servicios mediante la diversificación y redundancia de proveedores.

Tratamiento de datos personales

NUMINTEC dispone de acuerdos de encargo de tratamiento de datos personales (DPA) con todos los proveedores que prestan servicios que implican el tratamiento de datos personales de los cuales son responsables NUMINTEC o nuestros clientes en sus instalaciones

Cese de servicio

NUMINTEC requiere de sus proveedores, y en especial aquellos que prestan servicios en la nube, que eliminen cualquier información que traten una vez se acuerda el cese de servicio. Esta política se aplica a toda la información que se procesa en virtud del servicio prestado, ya sea propio de NUMINTEC o de nuestros clientes.

Segregación de entornos

NUMINTEC requiere de sus proveedores, y en especial aquellos que prestan servicios en la nube, que garanticen la segregación de los entornos virtuales de procesamiento de la información, con garantías de estanqueidad del acceso a los diferentes entornos y de la capacidad de servicio.

6. CUMPLIMIENTO NORMATIVO

CERTIFICACIONES

Auditores

SGS, la entidad certificadora que nos audita mantiene acreditaciones oficiales que aseguran su fiabilidad entre las que destacan las que se refieren a OCA, ECA, Ministerio de Defensa, Ministerio de Sanidad y Consumo, Ministerio de Industria y Energía, Ministerio de Fomento, Consejo de Seguridad Nuclear y ENAC.

ISO 9001:2015

NUMINTEC dispone de la certificación ISO 9001:2015.
La certificación acredita nuestra política de calidad

ISO 27001:2013

NUMINTEC dispone de la certificación ISO 27001:2013
Esta certificación acredita nuestra política de seguridad de la información

ISO 27017:2014

NUMINTEC es conforme con la ISO 27017:2014.

CUMPLIMIENTO LEGAL

Protección de datos personales

NUMINTEC cumple la legislación de protección de datos de acuerdo con:
● Reglamento (UE) 2016/679 de Protección de Datos Personales (RGPD)
● Ley 3/2018, de 5 de diciembre de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales (LOPD-GDD).
La información relativa a los tratamientos de datos que NUMINTEC lleva a cabo se puede encontrar en nuestra política de privacidad: https://www.numintec.com/politica-de-privacidad/

Operador de Telecomunicaciones

NUMINTEC está sujeto a la legislación que le aplica como operador de telecomunicaciones:
● Ley 11/2022, de 28 de junio, General de Telecomunicaciones (LGT).
● Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones
● Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones Entre otros aspectos, el cumplimiento de esta legislación implica que NUMINTEC está obligado a conservar y ceder a los agentes facultados los datos de origen, destino, día, hora y duración de las llamadas, entre otros.

Propiedad intelectual

NUMINTEC está sujeto a la legislación de propiedad intelectual:
● Ley 2/2019, de 1 de marzo En el marco de esta ley, NUMINTEC garantiza que ha establecido políticas para garantizar la protección de los derechos intelectuales de terceros, respetando los términos de las licencias de uso para todo el software que utiliza para prestar sus servicios.

DC-036 Rev. 01 05/5/2022

Cookie	Duración	Descripción
bcookie	1 año	LinkedIn configura esta cookie de los botones para compartir y las etiquetas publicitarias de LinkedIn para reconocer la identificación del navegador.
bscookie	1 año	LinkedIn establece esta cookie para almacenar las acciones realizadas en el sitio web.
lang	sesión	LinkedIn establece esta cookie para recordar la configuración de idioma de un usuario.
lidc	1 día	LinkedIn establece la cookie lidc para facilitar la selección del centro de datos.
UserMatchHistory	1 mes	LinkedIn establece esta cookie para la sincronización de ID de anuncios de LinkedIn.
__cf_bm	30 minutos	Esta cookie, configurada por Cloudflare, se utiliza para admitir la gestión de bots de Cloudflare.
__hssc	30 minutos	HubSpot configura esta cookie para realizar un seguimiento de las sesiones y determinar si HubSpot debe incrementar el número de sesión y las marcas de tiempo en la cookie __hstc.

Cookie	Duración	Descripción
hubspotutk	5 meses 27 días	HubSpot establece esta cookie para realizar un seguimiento de los visitantes del sitio web. Esta cookie se pasa a HubSpot en el envío del formulario y se usa al eliminar la duplicación de contactos.
_ga	2 años	La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe analítico del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer a visitantes únicos.
_gat_gtag_UA_25426903_1	1 minuto	Establecido por Google para distinguir a los usuarios.
_gid	1 día	Instalada por Google Analytics, la cookie _gid almacena información sobre cómo los visitantes usan un sitio web, al mismo tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.
__hstc	5 meses 27 días	Esta es la cookie principal establecida por Hubspot para rastrear a los visitantes. Contiene el dominio, la marca de tiempo inicial (primera visita), la última marca de tiempo (última visita), la marca de tiempo actual (esta visita) y el número de sesión (incrementos para cada sesión posterior).

Cookie	Duración	Descripción
AnalyticsSyncHistory	1 mes	Sin descripción
li_gc	6 meses	Sin descripción
_lfa_test_cookie_stored	pasado	Sin descripción