Manteniéndote seguro​
settingimg
Seguridad de datos

Para proteger sus datos, utilizamos una infraestructura segura, una dedicación a la confiabilidad y pruebas de terceros.

privacy
Privacidad

Nos tomamos muy en serio la seguridad de la información de sus visitantes y trabajadores. Nuestras reglas y procesos están destinados a mantener esta información segura durante su recopilación, uso y difusión.

compliance
Cumplimiento

Nos dedicamos a ayudarlos con sus cumplimiento de normativas y, al mismo tiempo, a mejorar nuestro propio conjunto de certificaciones.

Manteniéndote seguro

Nuestra Infraestructura

Seguridad de datos

Estamos en la Nube Azure. Está sujeto a numerosas auditorías de seguridad de terceros. Sigue los más altos estándares de la industria en certificaciones de cumplimiento de seguridad operacional y de la información, como ISO 27001 y SOC-2.

Residencia de datos

Nuestros servidores son accesibles en todo el mundo y están ubicados en el Reino Unido y Australia para cumplir con los diferentes esquemas de protección de datos de las regiones. Contamos con la ayuda de las redes de entrega de contenido (CDN) de todo el mundo para garantizar que los usuarios experimenten la menor latencia. No se comparte información confidencial o privada con estos servicios de hoja. Además, todos nuestros datos están encriptados en reposo y en tránsito.

Data Security Diagram 1

Desmantelamiento y eliminación de datos

Todos los datos de los clientes se guardan en los servicios de Azure Cloud, que se adhieren a una estricta política de desmantelamiento, como se detalla en su documentación de fundamentos de seguridad:

“Microsoft utiliza procedimientos de mejores prácticas y una solución de borrado que cumple con NIST 800-88”.

Cuando se dan de baja los servicios de un cliente, el entorno del cliente y los datos se eliminan con efecto inmediato. Los datos de trabajo de cada usuario se almacenan como parte del seguimiento de contactos desde el inicio y el final de los servicios. Si el cliente solicita purgar los datos, podemos configurar la purga automática en intervalos regulares.

Fiabilidad

Tiempo de actividad

Reconocemos el valor de la confiabilidad y nos esforzamos por lograr un tiempo de actividad del 99,9 %. Se realizan pruebas constantes de rendimiento y carga. Hay monitoreo de servicios las 24 horas del día, los 7 días de la semana con alertas configuradas en el raro caso de tiempo de inactividad.

Gestión de vulnerabilidades

Hay controles de seguridad en cada etapa de la canalización de la aplicación. Todo el código se analiza en busca de lagunas de seguridad antes de implementar las compilaciones. Utilizamos herramientas de análisis de composición de software (SCA) para garantizar que ninguna de nuestras bibliotecas de terceros tenga una vulnerabilidad. También empleamos un firewall de aplicaciones web (WAF) para prevenir las 10 vulnerabilidades principales de OWASP.

Desarrollo de aplicaciones

La tubería de desarrollo está sujeta a numerosos protocolos de seguridad. Se adhiere a la metodología Secure Software Development LifeCycle (SDLC), que garantiza una sólida postura de seguridad. En la etapa de diseño, se lleva a cabo el modelado de amenazas para garantizar que no haya vulnerabilidades arquitectónicas fundamentales/condiciones de carrera presentes en el diseño. Todo el código se revisa y debe superar la validación de seguridad antes de implementarse.

Seguridad interna

Tenemos una política de control de acceso basado en roles (RBAC) minuciosamente examinada para garantizar que se aplique el principio de privilegio mínimo. La autenticación de dos factores y las contraseñas seguras se aplican como parte de Azure Identity Policy. El acceso a los datos del cliente está limitado al personal que es necesario para la atención al cliente. Las auditorías de privilegios se llevan a cabo regularmente con la ayuda de los registros de acceso que se mantienen como parte de Azure Active Directory.

Autenticación

La autenticación se realiza a través de conexiones cifradas. Cualquier proveedor de identidad que admita OIDC o SAML puede integrarse en este incluido (Google SSO, Microsoft). Existe una política de contraseñas seguras para garantizar que no se utilicen contraseñas fáciles de adivinar o de fuerza bruta.

Cifrado

Todos los datos (en reposo y en tránsito) están encriptados. La versión mínima de TLS empleada es 1.2, lo que garantiza medidas preventivas contra ataques de intermediarios. En reposo, todos nuestros datos están encriptados con AES 256 para garantizar la máxima protección de los datos de los clientes.

Información de pagos

No guardamos la información de su tarjeta de crédito/débito en nuestros servidores cuando se registra en un plan pago a través de tarjeta de crédito/débito. Actualmente usamos Stripe, que es Cumple con PCI y se dedica a almacenar de forma segura datos de pago confidenciales. Se puede ver una copia de sus prácticas de seguridad aquí.

No conservamos ningún dato que esté sujeto a las obligaciones reglamentarias de PCI.

Datos recolectados

Nuestra política de privacidad contiene un resumen detallado de la información que recopilamos.

Sincronización de calendario

Después de conectar una cuenta de calendario externa a HybridHero, nuestro servicio en la nube comenzará a sincronizar los datos con los calendarios de las salas elegidas. Como resultado, un subconjunto de sus eventos de calendario y sus datos se conservarán en HybridHero.

HybridHero luego sincronizará esta información con su sistema de calendario. Los eventos de HybridHero también sincronizarán los datos con su proveedor de calendario, lo que garantiza que HybridHero y los calendarios asociados permanezcan constantes. La información del evento sincronizado incluye:

  • Título
  • Descripción
  • Horarios de inicio y fin
  • Ubicación (por ejemplo, “Sala de conferencias – 001”)
  • Organizador
  • Asistente(s)

Se pueden aplicar restricciones adicionales modificando los permisos de la cuenta de servicio correspondiente que HybridHero utiliza para acceder a su sistema de calendario. Vea un ejemplo usando Office 365 y Outlook para títulos de reuniones privadas.

Los archivos adjuntos de eventos no se guardan. En nuestro centro de soporte, puede descubrir más sobre nuestros procedimientos de conexión únicos por servicio (por ejemplo, Outlook).

Recuperación de desastres

Todos nuestros activos tienen redundancia de zona con conmutación por error automática configurada en caso de una interrupción. El objetivo de tiempo de recuperación (RTO) de los datos del cliente dentro de nuestra solución es de solo 4 a 5 minutos. Todos nuestros activos tienen redundancia de zona con conmutación por error automática configurada en caso de una interrupción.

Respuesta al incidente

Existe un amplio procedimiento de administración de parches que garantiza que los parches críticos se apliquen dentro de las 48 horas posteriores a su lanzamiento. Cualquier interrupción de los servicios se informará de inmediato. La primera prioridad en caso de incidente es la identificación del acceso comprometido. Luego, el equipo trabajará para aislar o contener el daño. Luego, se erradicará el componente ofensivo y se implementarán medidas para garantizar que el incidente no se repita.

Privacidad

Nos tomamos muy en serio la seguridad de su información personal y la consideramos un indicador de éxito interno. Nuestra política de privacidad tiene una descripción general detallada.

Políticas de seguridad

Todo el personal está sujeto a estrictos protocolos de seguridad que abordan el uso permitido, los datos del cliente y los requisitos de encriptación. Comuníquese con su gerente de cuenta si desea una copia de nuestra declaración de seguridad del cliente.

Como contactanos

Entendemos que estos temas también son importantes para usted. Si tiene más consultas que no hayan sido abordadas aquí o por el Centro de ayuda, por favor envíe un correo electrónico aquí y le responderemos lo antes posible.

También nos gustaría saber de usted si cree que descubrió una falla de seguridad mientras usaba HybridHero. Valoramos mucho la resolución de problemas de forma rápida y ética.

Protección de la privacidad

Reglamento general de protección de datos de la UE (GDPR)

El Reglamento general de protección de datos (GDPR) es un conjunto de leyes destinadas a estandarizar las leyes de privacidad de datos en toda Europa y mejorar las restricciones de privacidad para los residentes de la Unión Europea. El RGPD se aplica a las empresas de otros países que suministran productos o servicios a ciudadanos de la UE, además de a todas las empresas dentro de la UE.

Ley de protección de datos del Reino Unido (DPA)

La Ley de Protección de Datos de 2018 ( c. 12) es una Ley del Parlamento del Reino Unido que actualiza las leyes de protección de datos en el Reino Unido. Es una ley nacional que es la implementación del Reino Unido del Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

Ley de Privacidad de Australia (APA)

La Ley de Privacidad de 1988 es la pieza principal de la legislación australiana que protege el manejo de la información personal de las personas. Esto incluye la recopilación, el uso, el almacenamiento y la divulgación de información personal en el sector público federal y en el sector privado. Es una ley nacional que es la implementación de Australia del Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

¿HybridHero cumple con GDPR, DPA & APA?

Sí, los servicios de HybridHero cumplen con el RGPD, DPA y APA. La regla asigna distintas funciones a las corporaciones en función de cómo interactúan con los datos del consumidor. Debido a que procesamos datos personales en nombre de nuestros clientes, que son controladores de datos, HybridHero está clasificado como un procesador de datos.

Como procesador de datos, nos hemos preparado para GDPR por:

  • Actualizar nuestra política de privacidad para aclarar cómo procesamos los datos de nuestros clientes
  • Confirmar que los proveedores que utilizamos también se adhieren al RGPD
  • Desarrollar un proceso interno que permita a nuestros clientes para solicitar la anonimización de sus datos
  • Publicar un Anexo de procesamiento de datos que ayude a nuestros clientes a cumplir con sus obligaciones contractuales de GDPR que se incluye en nuestro Reino Unido y australiano Términos & Condiciones.

Cómo HybridHero Visitor Management (próximamente) ayudará a respaldar sus esfuerzos de cumplimiento de GDPR

Los clientes de HybridHero se consideran controladores de datos, ya que recopilan datos personales para los fines de su empresa. El uso de HybridHero Visitor Management le ayudará a respaldar sus esfuerzos de cumplimiento del RGPD de las siguientes maneras:

  • Mantenga la confidencialidad de los datos de los visitantes al hacer que inicien sesión en un iPad en lugar de un libro de registro visible.
  • Permitir que los visitantes elijan proporcionar o no información personal.
  • Cree un documento de política de privacidad personalizado en HybridHero y póngalo a disposición de los visitantes en el iPad.
  • Cuando sea necesario, solicite que los datos de sus visitantes sean anónimos.
Para obtener más información o si tiene algún problema relacionado con el cumplimiento del RGPD de HybridHero, envíenos un correo electrónico o consulta nuestra política de privacidad.

Soporte de cumplimiento

Política de privacidad

En Hybrid Hero, entendemos el impacto que tienen los estándares de cumplimiento en su organización. Es por eso que estamos comprometidos a brindar herramientas que lo ayudarán con sus estrategias de cumplimiento y, al mismo tiempo, mejorar nuestro propio cuerpo de certificaciones.

Los clientes incluyen Hooyu (Plataforma KYC), Coface (seguros) y la Comisión de Designaciones Judiciales (gobierno), por mencionar algunos. Todos confían en la capacidad de HybridHero para ayudar a las empresas a cumplir con los estrictos requisitos de seguridad y obtener certificaciones.

  • Reglamento general de protección de datos de la UE (GDPR)
  • Ley de Protección de Datos del Reino Unido (DPA)
  • Ley de Privacidad de Australia (APA)
  • Controles de organización de servicios (SOC)