Medidas de Seguridad Técnicas y Organizativas

EN - DE - ES - FR - NL

Objeto de este documento

Procaryote implementa medidas de seguridad adecuadas para proteger los datos personales que procesa contra el acceso no autorizado, la modificación o la destrucción. La seguridad de los datos, la confidencialidad y la privacidad de los pacientes cumplen con las leyes aplicables, incluido el Reglamento General de Protección de Datos (RGPD) europeo. Procaryote sigue los procedimientos más estrictos para garantizar la mejor seguridad de la información, incluida la información que recopilamos sobre usted, como se describe en esta política. Esto significa que Procaryote tiene un sistema de gestión de seguridad de la información de clase mundial, asegurando una protección rigurosa de los datos procesados.

Estas Medidas de Seguridad Técnicas y Organizativas (Medidas de Seguridad) explican cómo Procaryote asegura la seguridad de los datos personales que procesa. Describen el conjunto de medidas, procedimientos y procesos que Procaryote ha implementado para asegurar la disponibilidad, integridad y confidencialidad de todas las formas de información, con el fin de garantizar la continuidad de la información y el suministro de información, incluida la infraestructura informática subyacente, y limitar las posibles consecuencias de los incidentes de seguridad a un nivel aceptable y predeterminado.

Si tiene un acuerdo con Procaryote como profesional de la salud, como paciente o como usuario registrado, estas Medidas de Seguridad son parte de ese acuerdo.

Medidas Técnicas

Las medidas técnicas se refieren a las medidas y controles que Procaryote implementa para sus sistemas y cualquier aspecto tecnológico de la organización, incluidos dispositivos, redes y hardware.

Almacenamiento de Datos

Todos los datos personales e información procesados por Procaryote se almacenan en la nube y no en un sitio propiedad de o operado por Procaryote. Los proveedores de servicios en la nube de Procaryote son responsables de la seguridad de sus centros de datos. Procaryote realiza regularmente , y al menos una vez al año, una diligencia debida sobre sus proveedores de servicios en la nube, incluyendo la obtención y revisión de certificaciones de cumplimiento de seguridad.

Disponibilidad

Nuestra infraestructura está configurada para ofrecer alta disponibilidad. Las bases de datos y servidores de Procaryote están desplegados en varios centros de datos. Si uno de los centros de datos encuentra un problema, nuestros servicios permanecen disponibles. Nuestras aplicaciones también están alojadas detrás de una Red de Entrega de Contenido (CDN).

La Red de Entrega de Contenido es esencial para mejorar la velocidad, fiabilidad y seguridad de los servicios de Internet, entregando contenido de manera eficiente y confiable a los usuarios finales en todo el mundo. Los principales beneficios son:

• Reducción de la latencia: El CDN coloca servidores en las ubicaciones geográficas más cercanas a los usuarios finales. Esto reduce el tiempo necesario para que los datos viajen entre el servidor y el usuario, mejorando así la velocidad de carga de las páginas web y otros contenidos.

• Distribución del tráfico: Un CDN distribuye la carga de tráfico en varios servidores, evitando así la sobrecarga de un solo servidor, lo que puede causar fallos o ralentizaciones.

• Mejora del rendimiento: Al almacenar copias en caché del contenido en diferentes ubicaciones del mundo, un CDN puede proporcionar un acceso más rápido a los datos y mejorar el rendimiento general del sitio web o aplicación.

• Seguridad mejorada: El CDN ayuda a mitigar los ataques de denegación de servicio distribuido (DDoS) al distribuir el tráfico malicioso en varios servidores, evitando que un solo objetivo se vea abrumado.

• Alta disponibilidad y redundancia: En caso de fallo de un servidor, el CDN puede redirigir el tráfico a otro servidor en funcionamiento, asegurando así una disponibilidad continua del servicio.

• Optimización del ancho de banda: Al utilizar técnicas de compresión y almacenamiento en caché, el CDN puede reducir la cantidad de ancho de banda utilizada y los costos asociados para los proveedores de contenido.

Separación de Entornos

Procaryote asegura una estricta separación entre entornos de producción y no producción para reducir el riesgo de acceso no autorizado o modificaciones al entorno operativo. El entorno de producción está aislado en una red dedicada. Los entornos de no producción de Procaryote se utilizan para el desarrollo, las pruebas y las implementaciones en producción. No se realizan pruebas con datos de producción.

Ciberseguridad

Procaryote ha implementado controles de detección, prevención y recuperación para proteger sus sistemas y datos contra malware (como virus, spyware y ransomware). La conexión a Internet y la red interna de Procaryote están aseguradas con un firewall potente. La red WiFi está protegida con contraseña y los invitados utilizan una red WiFi separada. Para evitar la modificación o el uso indebido de los activos de Procaryote, las tareas o responsabilidades conflictivas son realizadas por diferentes personas. Cuando esto no es posible debido al tamaño limitado de Procaryote, se toman otras medidas (como la supervisión o vigilancia).

Cifrado

Procaryote utiliza el cifrado para proteger la información confidencial y sensible en reposo y en tránsito.

Seguridad Física

Procaryote ha implementado controles de seguridad física adecuados al nivel de riesgo que representan la información mantenida y la naturaleza de las operaciones en las oficinas de Procaryote. Las oficinas de Procaryote están ubicadas en un edificio con acceso restringido a los titulares de medios de acceso proporcionados después de un proceso de aprobación formal. Las oficinas y salas de reuniones de Procaryote están reservadas para el personal que necesita acceder a estas áreas para realizar sus funciones. Los medios de acceso del personal se revocan cuando ya no son necesarios, incluyendo dentro de un día hábil después de un cambio de rol o salida del personal correspondiente. Las copias en papel de los registros se almacenan en un gabinete cerrado con llave. Los visitantes son acompañados en todas las áreas no públicas y nunca se dejan sin supervisión. Las alarmas contra incendios y los extintores se revisan a intervalos regulares y su acceso no está bloqueado.

Eliminación Adecuada

Procaryote asegura que los documentos y dispositivos que contienen o pueden contener datos personales u otra información sensible se destruyan de manera segura para que los datos personales o información sensible no puedan ser recuperados por una persona no autorizada. Todas las copias en papel, tarjetas de crédito y CD/DVD-ROMs que ya no son necesarios se destruyen en la oficina. Los dispositivos de hardware se borran de manera segura y se almacenan en un lugar seguro antes de ser recogidos por una empresa de destrucción de hardware reconocida a nivel nacional para su reciclaje o destrucción.

Contraseñas

Procaryote requiere que el personal interno y externo, los sistemas y los servicios (en la nube) que contienen información confidencial o sensible establezcan contraseñas robustas y, cuando sea posible, activen la autenticación multifactor. Se requiere autenticación de dos factores para los sistemas que contienen información sensible y confidencial. Las contraseñas se almacenan de manera cifrada/hash y separadas de otros datos, y la información de inicio de sesión se transmite de manera cifrada.

Derechos de Acceso

El acceso a las bases de datos que contienen datos personales y a los documentos que contienen datos sensibles se concede solo sobre una base de necesidad de saber/uso. Todo el personal con acceso a estas bases de datos o documentos sensibles está sujeto a obligaciones de confidencialidad y seguridad. Las listas de acceso lógico se revisan regularmente, según la clasificación de la información. Los derechos de acceso de los usuarios se revisan trimestralmente. El acceso a los sistemas de Procaryote se revoca dentro de un día hábil después de la salida de un empleado o contratista. Procaryote mantiene un registro de todas las conexiones a sus bases de datos.

Medidas Organizativas

Las medidas organizativas se refieren a las políticas, procedimientos estándar y auditorías que Procaryote implementa para asegurar la consistencia en la protección de datos personales a lo largo del ciclo de procesamiento.

Sistema de Gestión de Seguridad de la Información

El Sistema de Gestión de Seguridad de la Información (ISMS) de Procaryote es un conjunto de políticas y procedimientos destinados a proteger los datos personales y sensibles. Cubre a todas las personas, sistemas y procesos de Procaryote, incluidos empleados, clientes, proveedores y terceros. Su objetivo es asegurar la seguridad y continuidad de la información y limitar el impacto de los incidentes de seguridad.

El ISMS es gestionado por un equipo de seguridad dedicado bajo la dirección del oficial de seguridad. Procaryote monitorea y actualiza el ISMS anualmente para reflejar cambios organizativos, tecnológicos y legislativos. Una política de seguridad formal, aprobada por la alta dirección, asegura el cumplimiento y la efectividad de los controles de seguridad.

Política de Continuidad del Negocio y Planes de Recuperación ante Desastres

Procaryote mantiene una Política de Continuidad del Negocio y Planes de Recuperación ante Desastres documentados. Nuestra política y planes incluyen:

• Roles y responsabilidades claramente definidos;

• Objetivos de Punto de Recuperación (RPO);

• Objetivos de Tiempo de Recuperación (RTO); y

• Una política de respaldo.

Procaryote revisa y actualiza su Política de Continuidad del Negocio y sus Planes de Recuperación ante Desastres al menos una vez al año. Los respaldos se prueban mensualmente.

Proceso de Gestión de Incidentes

Procaryote ha desarrollado y mantiene un Proceso de Gestión de Incidentes para usar en caso de una violación real o sospechada de datos u otro incidente de seguridad. Define roles y responsabilidades claros, mecanismos de informes y procedimientos para clasificar, contener y recuperarse del incidente. También incluye procedimientos para las notificaciones requeridas a las autoridades competentes y a las personas afectadas, así como mecanismos diseñados para prevenir incidentes similares en el futuro.

Proceso de Desarrollo de Software

El Proceso de Desarrollo de Software de Procaryote incluye principios y reglas con respecto al almacenamiento del código fuente, la revisión del código fuente y las reglas y principios aplicados al diseño e ingeniería de sistemas, redes e infraestructuras. La arquitectura y los diseños de redes/sistemas siempre son revisados por pares y cualquier cambio en la arquitectura/sistema de Procaryote primero se prueba y se publica en el entorno de ensayo de Procaryote antes de aplicarse al entorno de producción. La seguridad está diseñada para permitir la adopción regular de nuevas tecnologías, incluido un proceso de actualización tecnológica seguro y lógico.

Pruebas de Penetración y Evaluaciones de Riesgos

Procaryote se somete a auditorías regulares por equipos de seguridad internos y externos. Internamente, Procaryote realiza evaluaciones de riesgos regularmente bajo la responsabilidad del Gerente de Riesgos. Procaryote también realiza auditorías no anunciadas y ejercicios de phishing dirigidos a su personal. Al menos una vez cada tres años o después de un cambio importante en la arquitectura/infraestructura de Procaryote, Procaryote también se somete a pruebas de penetración externas por una empresa de seguridad reconocida a nivel nacional.

Delegado de Protección de Datos

Procaryote tiene un Delegado de Protección de Datos (Data Protection Officer - DPO) que informa directamente al equipo de gestión. Este DPO tiene experiencia combinada en derecho, tecnología y el sector de la salud. Las responsabilidades del DPO en Procaryote incluyen:

• Informar y asesorar a Procaryote y a sus empleados sobre sus obligaciones legales en materia de protección de datos.

• Colaborar con el Oficial de Privacidad interno en cuestiones de privacidad.

• Monitorear el cumplimiento de Procaryote con todas las legislaciones de protección de datos, incluidos auditorías, actividades de sensibilización y capacitación para el personal involucrado en el procesamiento de datos.

• Proporcionar asesoramiento al realizar Evaluaciones de Impacto en la Protección de Datos y monitorear su implementación.

• Actuar como punto de contacto para las personas en relación con el procesamiento de sus datos personales y el ejercicio de sus derechos.

• Cooperar con las Autoridades de Protección de Datos (DPA) y servir como punto de contacto para estas autoridades en cuestiones relacionadas con el procesamiento de datos.

Este marco garantiza que Procaryote mantenga los más altos estándares en protección de datos y respete los derechos de los individuos.

Formación

Todos los empleados de Procaryote y, cuando corresponda, los contratistas, reciben capacitación y sensibilización adecuadas, así como actualizaciones regulares sobre políticas y procedimientos organizacionales, según sus roles. Además de estas capacitaciones obligatorias, Procaryote ofrece a su personal recursos de capacitación adicionales, incluidas lecturas adicionales de seguridad y hackatones.

Verificaciones de Diligencia Debida

Procaryote realiza verificaciones de diligencia debida en todas las nuevas contrataciones y contratistas externos que tienen acceso a los sistemas e información de la empresa. Todos los empleados y contratistas están sujetos a obligaciones de confidencialidad, que permanecen en vigor incluso después de la finalización de su empleo o colaboración. Procaryote aplica un procedimiento disciplinario estricto para cualquier violación por parte del personal de sus obligaciones de seguridad y confidencialidad.

Otras Políticas y Procedimientos

Procaryote ha establecido varias políticas y procedimientos para garantizar una protección eficaz de su información y activos. Estos incluyen:

• Política de Clasificación de la Información: Define los niveles de sensibilidad de la información y las medidas de protección adecuadas.

• Política de Retención de Información: Especifica los períodos de retención de datos y los procedimientos de destrucción segura.

• Política de Control de Acceso: Regula el acceso a los sistemas y la información según roles y responsabilidades.

• Política de Criptografía: Regula el uso de técnicas de cifrado para proteger datos sensibles.

• Política de Contraseña: Detalla los requisitos para la creación y gestión de contraseñas para garantizar su robustez.

• Política de Dispositivos Móviles: Regula el uso de dispositivos móviles para acceder a la información de la empresa.

• Código de Conducta: Cubre aspectos adicionales de seguridad, como el teletrabajo, el uso de dispositivos personales, el correo electrónico y el intercambio de archivos.

Cada política se revisa al menos una vez al año para asegurar que se mantenga actualizada y efectiva frente a nuevas amenazas y requisitos regulatorios.

Modificaciones a este documento

Este documento es la última versión según la lista de versiones a continuación. Revisamos este documento regularmente para asegurarnos de que esté actualizado y podemos modificarlo con el tiempo para reflejar cambios en nuestros servicios y actividades de procesamiento de datos. Si lo hacemos, publicaremos las medidas de seguridad actualizadas en esta página web. Por favor, consulte estas Medidas de Seguridad para conocer cualquier cambio, ya que cualquier versión revisada de las medidas de seguridad se aplicará a todos los datos personales procesados por Procaryote.

Resumen de cambios

• V1.0 - 10 de abril de 2021: Primera versión.

Contacto

Para comunicarse con Procaryote sobre estas medidas de seguridad, envíe un correo electrónico a security@procaryote.com.