Medidas técnicas y organizativas de Digicert para garantizar la privacidad y la seguridad de la información

Para preservar la privacidad y la seguridad de los datos que poseemos, DigiCert y las empresas afiliadas del grupo (en adelante, «DigiCert») han adoptado y mantienen una serie de controles (p. ej., políticas, prácticas, procedimientos y mecanismos) que reducen las vulnerabilidades derivadas del acceso no autorizado o involuntario a la información, de su posible divulgación, uso, modificación o destrucción, o bien de otras circunstancias que supongan un peligro. Tener y respetar estos controles nos permite afrontar y mitigar con garantías los riesgos que amenazan la seguridad y la privacidad.

Los controles técnicos y organizativos de DigiCert se ajustan a las normas del sector y a las necesidades comerciales en aras de lograr una privacidad y una seguridad satisfactorias. En concreto, contamos con los controles enumerados a continuación, que establecen las pautas mínimas de referencia seguidas por DigiCert para proteger los datos.

1. Gestión de políticas y documentos. DigiCert mantiene, examina un mínimo de una vez al año y prueba una Política de Seguridad de la Información, un Plan de Continuidad Comercial, un Plan de Recuperación en Caso de Desastre y un Proceso de Respuesta a Incidentes. DigiCert mantiene (y actualiza cuando corresponde) un acuerdo intragrupo que regula cómo se comparten los datos, así como los correspondientes Acuerdos de Tratamiento de Datos con proveedores. Los productos y servicios de DigiCert cuentan con avisos públicos sobre privacidad, y DigiCert mantiene también una Política de Privacidad de Referencia interna, revisada y actualizada anualmente, en la cual se especifican los procesos y las normas de privacidad que se le aplican.
2. Controles de seguridad de la red. Los administradores de sistemas de DigiCert se ocupan de garantizar, por un lado, que los componentes de los sistemas de información de acceso público (p. ej., los servidores web públicos) residan en subredes separadas por interfaces de red físicas independientes y, por otro, que las interfaces controladas que protegen el perímetro de la red filtren ciertos tipos de paquetes para proteger los dispositivos que están en la red interna de DigiCert. Los cortafuegos y los dispositivos de control de límites están configurados para permitir el acceso únicamente a aquello que sea necesario para ejecutar operaciones de DigiCert.
3. Controles de seguridad de las bases de datos. Todo acceso (a través del sistema o directamente por parte del personal) a las bases de datos de DigiCert se registra y supervisa con el fin de detectar cambios no autorizados. Los datos se cifran en las bases de datos mediante un sistema de cifrado recomendado por el sector, y el acceso directo se limita a las funciones especificadas en la Política de Seguridad de la Información y la Declaración de Prácticas de Certificación de DigiCert.
4. Controles de acceso y autenticación. Todas las interacciones de los usuarios con los sistemas de DigiCert son rastreables hasta el individuo que las realiza, y todos los usuarios deben estar identificados con total seguridad antes de poder interactuar con los sistemas de DigiCert. El personal de DigiCert debe primero autenticarse en los sistemas de DigiCert para poder acceder a cualquier componente del sistema necesario para desempeñar funciones consideradas de confianza. Las funciones se definen en la Declaración de Prácticas de Certificación y en la Política de Seguridad de la Información de DigiCert. Las cuentas de usuario y demás tipos de acceso a los sistemas informáticos de DigiCert deben estar aprobados de conformidad con la Política de Acceso de Usuarios. Los controles físicos y lógicos especificados en las políticas que regulan el acceso de personas autorizadas se revisan periódicamente (una vez al año como mínimo).
5. Controles aplicables al personal. Todos los empleados de DigiCert y otros trabajadores con acceso a los datos o sistemas de DigiCert están sujetos a acuerdos de confidencialidad, han de superar una verificación de antecedentes y reciben formación específica para la función que desempeñan. DigiCert mantiene y aplica políticas y procedimientos para todas las funciones que considera de confianza, mecanismos de identificación y autenticación para cada una de ellas y sanciones para quienes actúen de forma no autorizada. Contamos, asimismo, con medidas de separación de tareas y tarjetas identificativas para empleados, y en cuanto se rescinde el contrato de un empleado o trabajador, se le deniega de inmediato el acceso a los sistemas.
6. Controles de seguridad físicos. El acceso a todas las oficinas, salas de ordenadores y zonas de trabajo que contienen información confidencial está sometido a restricciones físicas. Todas las puertas de la oficina tienen una cerradura, y todas las puertas de entrada a las instalaciones de DigiCert siempre están cerradas con llave. Estas puertas son accesibles mediante una tarjeta de acceso u otro dispositivo de control de acceso, que se expide al interesado una vez que se ha confirmado que está limpio de antecedentes. Los centros de datos, jaulas y oficinas de DigiCert están vigilados por circuito cerrado de televisión. Para acceder a la jaula segura, se requiere la autenticación biométrica de dos guardianes (custodios). Todo acceso queda registrado.
7. Gestión de vulnerabilidades/parches. Se realizan escaneos mensuales en todos los activos de DigiCert utilizando herramientas de detección de vulnerabilidades. Los sistemas que requieren corrección deben ser parcheados dentro de los plazos definidos por Global Security Operations. Los plazos se basan en la puntuación asignada del Sistema de Puntuación de Vulnerabilidad Común (CVSS). Las vulnerabilidades críticas y altas se parchean en un plazo de 72 horas o se crea un plan de acción, las vulnerabilidades medias se parchean o se crea un plan de acción en un plazo de 30 días, y las vulnerabilidades bajas/de información se parchean a discreción de DigiCert.
8. Evaluación interna completa. DigiCert realiza una evaluación anual completa de los riesgos con objeto de identificar todas las amenazas internas y externas razonablemente previsibles para la seguridad, la privacidad, la confidencialidad y la integridad.
9. Evaluación de penetración/evaluación externa. Cada año se realiza al menos una evaluación de penetración que corre a cargo de terceros. DigiCert suele realizar múltiples pruebas de penetración anuales en el código, la infrastructura y los sistemas, además de evaluaciones de equipos rojos.
10. Formación y sensibilización. Con carácter anual, todos los empleados y otros trabajadores reciben formación sobre cuestiones relacionadas con la privacidad, la seguridad y el cumplimiento normativo. Se impartirá, además, formación suplementaria a los empleados u otras personas cuya actividad incluya el tratamiento de información personal identificable o confidencial. Todos los trabajadores con acceso a los sistemas o datos de DigiCert están obligados a seguir ciertas políticas y procedimientos que garantizan el tratamiento adecuado de los datos, como la Política de Seguridad de la Información, el Código de Conducta y la Política de Uso Aceptable de DigiCert.
11. Controles de acceso aplicables a terceros. Siempre que se dé acceso a una empresa externa a los sistemas o datos de Digicert, los contratos suscritos con ella especificarán qué debe hacer para proteger la seguridad y la privacidad. Antes de que se autorice el acceso, se someterá a la empresa en cuestión a una evaluación de impacto de los riesgos relacionados con la privacidad y la seguridad, a fin de reducirlos.
12. Medidas de protección aplicables al almacenamiento o la transmisión de datos. Todos los datos almacenados en sistemas de DigiCert se cifran mediante un sistema recomendado por el sector, y lo mismo ocurre con todos los datos en tránsito que, en cualquier lugar del mundo, se transmiten a través de los sistemas de DigiCert.
13. Almacenamiento, retención y borrado. La información almacenada en formato físico o electrónico se protege con los controles técnicos pertinentes, que dependen del grado de confidencialidad de los datos. La información se borra según lo estipulado en nuestra Política de Certificación y Declaración de Prácticas de Certificación (CP/CPS) y en los avisos de privacidad que correspondan.