Seguridad en Vantage Circle

Introducción

El objetivo de la seguridad de la información es proporcionar dirección de gestión y apoyo para la seguridad de la información de conformidad con los requisitos comerciales de Vantage Circle y la administración de leyes y reglamentos. Las políticas de seguridad de la información son aprobadas por la gerencia, publicadas y comunicadas a todos los empleados y a las partes externas relevantes. Estas políticas establecerán el enfoque de Vantage Circle para la gestión de la seguridad de la información y se alinearán con las políticas pertinentes a nivel estatal.

La seguridad de la información se coordinará en las distintas partes del Círculo Vantage con las funciones y funciones pertinentes. Las responsabilidades en materia de seguridad de la información se definirán y comunicarán claramente. Se mantendrá la seguridad de los activos de información y la tecnología de la información de Vantage Circle a los que accedan, procesen, comuniquen o gestionen partes externas.

Las políticas de seguridad de la información se revisarán a intervalos planificados anualmente o si se producen cambios significativos para garantizar su continua idoneidad, adecuación y eficacia. Cada política tendrá un propietario que ha aprobado la responsabilidad de gestión para el desarrollo, revisión y evaluación de la política. Los exámenes incluirán la evaluación de las oportunidades para mejorar las políticas de seguridad de la información de Vantage Circle y el enfoque para gestionar la seguridad de la información en respuesta a los cambios en el entorno de Vantage Circle, las nuevas amenazas y riesgos, las circunstancias comerciales, las implicaciones jurídicas y políticas y el entorno técnico.

GDPR

El Reglamento General de Protección de Datos (GPDR) es un marco legal que establece directrices para la recopilación y el procesamiento de información personal de personas que viven en la Unión Europea (EU). Dado que el Reglamento se aplica con independencia de dónde se encuentren los sitios web, todos los sitios que atraigan visitantes europeos deben prestarle atención, aunque no comercialicen específicamente bienes o servicios a residentes de la EU.

El GDPR exige que los visitantes de la EU reciban una serie de revelaciones de datos. El sitio también debe tomar medidas para facilitar los derechos de los consumidores de la EU como notificación oportuna en caso de violación de los datos personales. Adoptado en abril de 2016, el Reglamento entró plenamente en vigor en mayo de 2018, tras un período transitorio de dos años.

GDPR en Vantage Circle

Vantage Circle está comprometido con la regulación general de protección de datos (GDPR) que ha entrado en vigor el 25 de mayo de 2018. Los productos y servicios ofrecidos por Vantage circle están preparados para el GDPR y un DPA proporciona a nuestros clientes la documentación necesaria de esta preparación. El Acuerdo de Procesamiento de Datos (“DPA”) es un addendum a los Términos de Servicio del Cliente (“Acuerdo”) entre Bargain Technologies Pvt. Ltd. (Vantage Circle) y el Cliente. El Cliente entra en esta DPA en nombre propio y, en la medida requerida por las Leyes de Protección de Datos, en nombre y por cuenta de sus Afiliados Autorizados.

ISO 27001:2013

Vantage Circle cuenta con la certificación ISO 27001:2013 y estamos continuamente comprometidos a identificar amenazas, evaluar todo tipo de riesgos e implementar controles que nos ayuden a cumplir con los mejores estándares de la industria.

El objetivo de la norma ISO 27001 es proteger los tres aspectos de la información:

  • Confidencialidad: El Personal autorizado válido solo puede acceder a la información.
  • Integridad: Personal autorizado válido puede cambiar la información.
  • Disponibilidad: Las personas autorizadas tienen acceso a la información siempre que la necesiten.

Seguridad física

El objetivo de la seguridad física y medioambiental es evitar el acceso físico no autorizado, los daños, el robo, el compromiso y la interferencia con la información y las instalaciones de Vantage Circle. Los lugares en que se aloje información crítica o delicada o bienes de información estarán protegidos por barreras de seguridad y controles de entrada adecuados. Estarán físicamente protegidos del acceso no autorizado, daños e interferencias. Las zonas seguras estarán protegidas por controles de entrada de seguridad adecuados para garantizar que sólo se permita el acceso al personal autorizado. La seguridad se aplicará a los equipos fuera de las instalaciones. Todos los equipos que contienen medios de almacenamiento serán revisados para asegurar que cualquier información sensible y software con licencia ha sido removido o sobrescrito de forma segura antes de ser eliminado de acuerdo con las políticas estatales.

Vantage Circle se aloja en Digital Ocean (proveedor de servicios en la nube) y la infraestructura. Los empleados de Vantage Circle no tienen acceso físico a los servidores de producción. Digital Ocean proporciona a sus clientes los mejores controles de seguridad física creados para cumplir los requisitos de las organizaciones más sensibles a la seguridad, según sus declaraciones en el anexo B – Medidas de seguridad.

Seguridad del servidor

La autenticación basada en contraseña es vulnerable a un ataque de fuerza bruta. Por lo tanto, la autenticación basada en contraseña está deshabilitada en nuestros servidores de producción. En su lugar, se genera un par de claves pública-privada en los equipos de acceso y se coloca en el lugar adecuado en los servidores. Como tal, los servidores son accesibles únicamente desde estas máquinas en particular. Además, sólo se puede tener acceso a los servidores de bases de datos desde servidores de aplicaciones.

Control de acceso

El acceso a la información, los sistemas de información, las instalaciones de procesamiento de la información y los procesos institucionales se controlará sobre la base de los requisitos institucionales y de seguridad. Se desarrollarán e implementarán procedimientos formales para controlar los derechos de acceso a la información, los sistemas de información y los servicios para prevenir el acceso no autorizado. Se informará a los usuarios de sus responsabilidades en el mantenimiento de controles de acceso eficaces, en particular en lo que respecta al uso de contraseñas. Se informará a los usuarios de sus responsabilidades para garantizar que el equipo desatendido cuente con la protección adecuada. Se implementará una política de escritorio clara para papeles y dispositivos de almacenamiento extraíbles y una política de pantalla clara, especialmente en áreas de trabajo accesibles para el público. Se tomarán medidas para restringir el acceso a los sistemas operativos a los usuarios autorizados. Se requerirá una protección acorde con los riesgos cuando se utilicen instalaciones de computación móvil y teletrabajo.

  • Todos los servidores en la nube estarán bloqueados desde el acceso con contraseña y solo se les permitirá a través de certificados digitales.
  • La certificación digital para el acceso a la producción se cambiará de vez en cuando.
  • La contraseña de la interfaz de administración de Vantage Circle se cambiará cada 3 meses.

Almacenamiento de datos y redundancia

Vantage Circle utiliza la base de datos Mysql administrada alojada en los centros de datos digitales de los océanos. Como los datos son fundamentales, Digital Ocean garantiza que los datos se copien automáticamente todos los días. Los datos se pueden restaurar a cualquier punto en los siete días anteriores.

Supervisión

Vantage Circle utiliza varios servicios de supervisión para garantizar la seguridad de los servidores y del entorno. Los servicios nos alertan por correo electrónico de cualquier anomalía en nuestros servidores.

Cumplimiento

El diseño, la operación, el uso y la gestión de la información y los activos de información están sujetos a requisitos de seguridad legales, reglamentarios y contractuales. El cumplimiento de los requisitos legales es necesario para evitar infracciones de cualquier ley, obligación legal, reglamentaria o contractual, y de cualquier requisito de seguridad. Los requisitos legales incluyen, entre otros: estatuto estatal, política estatal y de Vantage Circle, regulaciones, acuerdos contractuales, derechos de propiedad intelectual, derechos de autor y protección y privacidad de la información personal.

Se establecerán controles para maximizar la eficacia del proceso de auditoría de los sistemas de información. Durante el proceso de auditoría, los controles protegerán los sistemas e instrumentos operacionales para proteger la integridad de la información y prevenir el uso indebido.

Divulgación

En Vantage Circle, estamos trabajando continuamente para hacer que nuestro sistema sea seguro. Si encuentra algún problema o tiene alguna pregunta sobre nuestra seguridad, por favor escríbanos a support@vantagecircle.com. Nos aseguraremos de que se resuelva.