SEGURIDAD DE LA INFORMACIÓN

I. Información general

Alice Biometrics, S.L. (“Alice”) ha desplegado una Política de Seguridad de la Información (también, la “Política”) bajo la dependencia de su Responsable de Seguridad de Información (“RSI”) con el propósito de proteger su información. A continuación explicamos sus principales características.

A la par con la normativa ISO/IEC 27001, los pilares de esta Política son la confidencialidad, la disponibilidad y la integridad de la información:

  • Confidencialidad: asegurando que sólo quienes estén autorizados pueden acceder a la información.
  • Disponibilidad: asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
  • Integridad: asegurando que la información se mantiene invariable y trazable. 

Para garantizar la correcta implementación de la Política, Alice cuenta con controles y registros implementados en el desarrollo y mantenimiento de la misma. Los complementa un proceso disciplinario interno para casos de incumplimiento por parte de los trabajadores de Alice.

Alice busca tener una infraestructura segura desde el diseño. Para ello, cuenta con sistemas independientes de desarrollo y producción, con encriptado de la información en tránsito y reposo, procesos de borrado de datos, sistemas de permisos y disponibilidad, y un equipo comprometido con la confidencialidad.

II. Encriptado

Alice encripta la información cuando está en tránsito, reposo y uso.

  • Tránsito: cuando la información se comunica entre el proveedor del servicio final y nosotros, o entre uno de nuestros proveedores y nosotros, esta corre el riesgo de ser interceptada por un tercero. Para reducir este riesgo, la información se encripta antes de ser comunicada. Luego, se autentifican los puntos de conexión y, una vez se transmite, se desencripta y verifica los datos en el destino. 
  • Reposo: los datos están almacenados y conservados en Google Cloud Platform (“GCP”). Este es un ambiente seguro, donde se encripta los datos de acuerdo con el estándar de encriptado avanzado (AES, por sus siglas en inglés) para protegerlos frente a intrusiones en el sistema y filtraciones. 

Para mayor información sobre el encriptado de datos en GCP, consultar en su sitio web: https://cloud.google.com/security?hl=es.

III. Borrado de datos

Junto con el encriptado de los datos en reposo, el borrado de datos es una parte integral de la conservación segura de la información. 

En Alice, los datos se borran según los plazos establecidos en nuestra Política de conservación de los datos, sin perjuicio del ejercicio del derecho a la supresión de los datos por parte de los usuarios. Este es un procedimiento que reconoce a los usuarios como titulares de los datos y les permite ejercer un control sobre sus datos.

En ambos casos, la información se elimina siguiendo un protocolo de eliminación.

IV. Disponibilidad

El acceso de las personas autorizadas a la información cuando la necesitan es un punto esencial para la seguridad de la información. Por ello, Alice cuenta con un sistema de permisos que registra quienes tienen autorización para acceder a la información y un programa seguro de manejo de claves. Además, tiene un sistema de gestión de continuidad en caso de fallas del sistema para asegurar el nivel de servicio ofrecido.

V. Permisos

Es importante que solo las personas autorizadas tengan acceso a la información. Por ello, en Alice tenemos un control estricto de los permisos de acceso basada en las necesidades del negocio y la política de seguridad. Este control incluye un procedimiento de registro y retirada de los permisos de acceso, que identifica a las personas responsables del manejo de la información.

También tenemos un protocolo para el control del acceso a la información por parte de terceros, como, por ejemplo, nuestros abogados.

VI. Equipo

Todos los trabajadores de Alice, sin importar su cargo, están comprometidos con la Política de Seguridad de la Información y han acordado mantener la confidencialidad de la información procesada.

En particular, el RSI está a cargo tanto del cumplimiento diario de la Política, como de su revisión periódica. También es responsable de la certificación de nuestra seguridad por entes independientes –por ejemplo, la ISO 27000–, y de coordinar las auditorías (internas y externas) y tests de seguridad periódicos –incluido exámenes de penetración o pentests–. 

Además, el equipo está comprometido con clasificar la información según su sensibilidad y confidencialidad –lo cual facilita el cumplimiento del deber de confidencialidad–, de utilizar la información para finalidades estrictamente profesionales, y de reportar cualquier problema de seguridad que encuentre.

Hemos implementado un proceso disciplinario para lidiar con cualquier brecha de este compromiso por parte de nuestro equipo.