Declaración de seguridad del Grupo Welliba
Última revisión: 15 de febrero de 2023
Para el Grupo Welliba es prioritario proteger los datos de sus clientes y usuarios.
Seguridad empresarial
Programa de Seguridad de la Información
Contamos con un Programa de Seguridad de la Información que se comunica a toda la organización. Nuestro Programa de Seguridad de la Información sigue los criterios establecidos por el marco SOC 2. SOC 2 es un procedimiento de auditoría, ampliamente conocido y creado por el Instituto Estadounidense de Contables Públicos Certificados, para evaluar la seguridad de la información.
Auditorías externas
Nuestra organización se somete a evaluaciones llevadas a cabo por organismos independientes para comprobar nuestros controles de seguridad y cumplimiento.
Pruebas de intrusión
Al menos una vez al año, hacemos una prueba de intrusión por parte de terceros para garantizar que la seguridad de nuestros servicios no se vea afectada.
Funciones y responsabilidades
Las funciones y responsabilidades relacionadas con nuestro Programa de Seguridad de la Información y la protección de los datos de nuestros clientes y usuarios están bien definidas y documentadas. Nuestros empleados deben revisar y aceptar todas las políticas de seguridad.
Formación y concienciación en materia de seguridad
Nuestros empleados deben recibir formación en materia de seguridad que abarque las prácticas estándar del sector y temas de seguridad de la información como la suplantación de identidad y la administración de contraseñas.
Confidencialidad
Todos los empleados deben firmar y cumplir un acuerdo de confidencialidad estándar antes de empezar a trabajar con nosotros.
Seguridad en la nube
Seguridad de la infraestructura en la nube
Todos nuestros servicios están alojados en Microsoft Azure, que emplea un potente programa de seguridad con varias certificaciones. Para obtener más información sobre los procedimientos de seguridad de nuestro proveedor, visite la página de seguridad de Azure.
Seguridad del alojamiento de datos
Todos nuestros datos están alojados en bases de datos de Microsoft Azure, ubicadas en los Países Bajos. Para obtener más información, consulte la documentación específica, a la que puede acceder a través del enlace anterior.
Cifrado en reposo
Todas las bases de datos están cifradas en reposo.
Cifrado en tránsito
Nuestras aplicaciones emplean cifrado en tránsito únicamente con TLS/SSL.
Análisis de vulnerabilidad
Llevamos a cabo análisis de vulnerabilidad y vigilamos activamente las amenazas.
Registro y supervisión
Supervisamos y registramos activamente diversos servicios en la nube.
Continuidad de la actividad y recuperación en caso de catástrofe
Utilizamos los servicios de copia de seguridad que ofrece nuestro proveedor de alojamiento de datos para reducir el riesgo de pérdida de datos en caso de fallo del hardware. Utilizamos servicios de supervisión para alertar al equipo en caso de fallos que afecten a los usuarios.
Respuesta a incidentes
Contamos con un proceso de gestión de incidentes relacionados con la seguridad de la información que incluye procedimientos de escalonamiento, mitigación rápida y comunicación.
Seguridad de acceso
Permisos y autenticación
El acceso a la infraestructura en la nube y a otras herramientas sensibles está limitado a los empleados autorizados que lo necesitan para desempeñar su función.
Tenemos políticas de inicio de sesión único (SSO), autenticación de dos factores (2FA) y contraseñas seguras para garantizar la protección del acceso a los servicios en la nube.
Control de acceso de mínimo privilegio
Seguimos el principio de mínimo privilegio con respecto a la gestión de identidades y accesos.
Revisiones trimestrales de acceso
Cada tres meses, revisamos el nivel de acceso de todos los empleados que tienen acceso a sistemas sensibles.
Requisitos de las contraseñas
Todos los empleados deben cumplir unos requisitos mínimos en cuanto a la complejidad de las contraseñas.
Administradores de contraseñas
Todos los portátiles de la empresa utilizan un administrador de contraseñas para que los empleados puedan administrarlas y mantener la complejidad de las mismas.
Gestión de proveedores y riesgos
Evaluaciones anuales de riesgos
Al menos una vez al año, evaluamos los riesgos para detectar cualquier posible amenaza o consideración de fraude.
Gestión de riesgos de los proveedores
Determinamos el riesgo de los proveedores y hacemos las revisiones oportunas antes de autorizar proveedores nuevos.
Contacto
Si tiene alguna pregunta, comentario o duda, o si desea informar de un posible problema de seguridad, póngase en contacto con security@welliba.com.