Principales preguntas de seguridad
En asociación con Amazon Web Services, actualmente ofrecemos la residencia de datos en las siguientes regiones:
- Estados Unidos
- Unión Europea (cumple con el RGPD)
- Canadá
- Australia
Sí, las bases de datos y los volúmenes de almacenamiento se cifran en reposo mediante el algoritmo de cifrado AES-256 estándar del sector en nuestros servidores.
Sus datos se transmiten desde y hacia nuestros servidores mediante encriptación SSL.
No se requiere descarga ni instalación, puede acceder a nuestra aplicación web en cualquier navegador web conectado a Internet. D4H proporciona un servicio en la nube totalmente alojado, sin servidores que mantener. El único requisito del sistema es un navegador web moderno, y admitimos Google Chrome, Microsoft Edge, Mozilla Firefox y Apple Safari.
Sí, todos los contratos de servicios de la UE incluyen un acuerdo de procesamiento de datos que cumple con el RGPD con nuestra empresa D4H Technologies Ltd. (463199) registrada en Irlanda en la Unión Europea. Gracias a nuestro diseño centrado en la privacidad, su cuenta se puede configurar para cumplir con todos los requisitos del RGPD.
Nuestros productos pueden soportar una serie de integraciones listas para usar y puedes construir el tuyo propio con nuestros API REST totalmente documentada disponible para personal y capacitación, administración de equipos e informes de incidentes.
Normas y certificaciones
D4H está certificada con una auditoría externa para la norma ISO 27001:2022. Usamos centros de datos auditados según las normas ISO 27001, ISO 27017, ISO 27018, ISO 9001, SOC 1, SOC 2 y SOC 3 gestionados por Amazon Web Services.
Servicios web de Amazon
Confidencialidad, integridad y disponibilidad
- Todos los datos se cifran en reposo.
- Todos nuestros servicios están encriptados durante el tránsito.
- Solo el personal superior identificado tiene acceso a las bases de datos, los servidores y las copias de seguridad según sea necesario conocerlas y utilizarlas.
- Cualquier acceso de usuario es único y está protegido por un paso de autenticación.
- Exigimos contraseñas seguras en todos los sistemas, tanto para los empleados como para los clientes.
- Mantenemos nuestros productos disponibles con más del 99,98% de tiempo de funcionamiento.
- Exigimos los mismos estándares a nuestros proveedores.
Tus datos, tu privacidad
- Procesamos sus datos solo para configurar la aplicación según sus necesidades empresariales.
- No podemos acceder a sus datos durante las solicitudes de soporte a menos que usted nos lo autorice.
- Nunca, nunca le pediremos su información personal, como una contraseña.
- Puede cargar y descargar los documentos que necesita de forma segura.
- Todos los contratos de servicio incluyen un acuerdo de procesamiento de datos que cumple con el RGPD.
Nuestra respuesta
- Siempre estamos listos para responder a los incidentes de integridad y seguridad.
- Nuestro personal recibe capacitación continua en materia de seguridad y aplica nuestras mejores prácticas.
- Implementamos un plan de continuidad del negocio para estar disponibles en todo momento.
- Se realiza una copia de seguridad de sus datos mediante la recuperación puntual.
Preguntas frecuentes (FAQ)
Requisitos generales
¿Cómo se asegura de que la confidencialidad e integridad de nuestra información se mantengan intactas?
D4H Technologies otorga una alta prioridad a la seguridad de la información. Para garantizar la confidencialidad e integridad de la información de nuestros clientes, contamos con un sólido sistema de gestión de la seguridad de la información (ISMS). Por ejemplo, gestionamos y supervisamos todos los accesos físicos y lógicos a los datos, capacitamos a nuestros empleados para que sigan los principios y requisitos de seguridad y protegemos nuestros productos contra ataques e intrusiones.
¿Cómo y en qué nivel garantizan la disponibilidad de nuestra información?
La disponibilidad es una de las bases de la seguridad de la información. Por eso utilizamos alertas de terceros y supervisamos a nivel mundial la capacidad y disponibilidad de nuestros servidores. También tenemos proveedores que garantizan la mitigación de los ataques DDoS. Por último, contamos con un procedimiento de gestión de incidentes probado para garantizar nuestra disponibilidad.
¿Ha habido alguna filtración de datos o un uso indebido de nuestra información recientemente?
Nunca hemos tenido filtraciones de datos ni uso indebido. Si se produce un incidente, seguimos nuestro detallado procedimiento de gestión de incidentes. En cuanto detectamos o sospechamos un problema, enviamos notificaciones e informes de seguridad a los clientes afectados por correo electrónico.
¿Qué funciones de los empleados tienen acceso físico o lógico a nuestros datos?
Otorgamos el acceso según la necesidad de saber y la necesidad de usar. Solo los ingenieros de alto nivel pueden acceder a las bases de datos de información sin procesar de los clientes por la propia naturaleza de sus responsabilidades. El cliente debe conceder acceso al servicio de atención al cliente para acceder a sus datos y ayudar con el soporte. Todos nuestros empleados se someten a controles de seguridad en el momento de la contratación y durante el tiempo que trabajan con nosotros. Todos los datos se cifran en reposo.
Administración de seguridad
¿Tienes una política de privacidad?
Sí, puedes encontrar nuestros declaración de privacidad aquí.
¿Tienen políticas de seguridad?
Nuestras políticas cubren áreas como la protección de datos, las contraseñas y las claves de cifrado, la seguridad física y ambiental, la concienciación en materia de seguridad social, la destrucción y eliminación de la información, el control de acceso, la gestión de incidentes, la continuidad del negocio y los principios de ingeniería segura. La administración los aplica y los revisa periódicamente. Por motivos de seguridad, no podemos hacerlos públicos, pero si tiene más preguntas, nuestro gerente de seguridad de la información estará encantado de discutirlas.
Seguridad operativa
¿Tiene un sistema de gestión de seguridad de la información para garantizar la seguridad de sus operaciones?
Sí, D4H Technologies cuenta con la certificación ISO 27001:2022.
¿Cómo se protegen sus sistemas contra el acceso sin permiso y contra intrusiones o ataques?
D4H Technologies cumple con estrictos requisitos de seguridad. Usamos la guía de pruebas de OWASP como base para las pruebas de vulnerabilidad de nuestros productos. Nos aseguramos de protegernos contra las 10 vulnerabilidades más críticas de OWASP.
¿Puede proporcionar un registro de las intrusiones o ataques recientes?
Se registran las intrusiones o los ataques. También se supervisan y evalúan para evaluar el impacto, de modo que las acciones se puedan adaptar a la gravedad del ataque.
¿Cómo capacitas a los empleados que tienen acceso a nuestros datos en materia de seguridad?
Los empleados leen, reconocen y aplican nuestras políticas y procedimientos, reciben capacitación de seguridad periódica y se mantienen al día con las amenazas de seguridad más recientes durante nuestras reuniones informativas semanales.
¿Tiene un procedimiento de gestión de incidentes?
Sí, nuestros empleados saben qué hacer y con quién deben ponerse en contacto si se produce un incidente. También evaluamos los riesgos de estos incidentes y tomamos las medidas correctivas necesarias. Probamos nuestro procedimiento de forma rutinaria y lo mejoramos continuamente en función de las recomendaciones del sector.
¿Cómo se nos alerta si se produce un incidente?
Los informes de seguridad se envían a nuestros clientes por correo electrónico para alertarles tan pronto como detectemos un problema e impidamos el acceso posterior.
Seguridad física
¿Tiene controles de acceso físicos?
Sí, mantenemos un registro del acceso físico otorgado. Los huéspedes siempre van acompañados. Registramos el acceso de los visitantes.
¿Tienes una política de eliminación de acceso?
Sí, tenemos un procedimiento formal para personas que se incorporan, abandonan y se mudan que garantiza que a todos los empleados cuyo contrato se rescinda se les eliminen los accesos físicos y lógicos. El acceso también se revisa cuando cambian las necesidades y los roles.
Seguridad del sistema
¿Registra, supervisa e informa de todos los eventos de seguridad?
Sí, y de nuestros proveedores y vendedores. Los supervisamos de forma continua, en función de la gravedad de la información.
¿Los accesos se basan en las necesidades empresariales, los privilegios mínimos y la responsabilidad individual?
Sí, concedemos el acceso según la necesidad de saber y la necesidad de uso. Podemos hacer un seguimiento de la responsabilidad individual.
¿Tiene una política de contraseñas?
Sí, exigimos el uso de una contraseña de 8 caracteres en minúsculas, mayúsculas y números tanto para nuestro uso interno como para el acceso de los clientes a sus datos. También utilizamos la autenticación en dos pasos cuando está disponible para nuestros sistemas empresariales. Nuestros clientes pueden usar la autenticación de 2 factores cuando corresponda.
¿Tiene un software de detección de virus, malware, intrusiones, etc.?
Sí, los mantenemos actualizados automáticamente y revisamos los registros con regularidad.
Seguridad de servidores
¿Cuál es su política para eliminar las cuentas de prueba y de usuario cuando ya no se usan?
Sí, forma parte de nuestros principios de ingeniería segura.
¿Los dispositivos tienen pantallas protegidas con contraseña que cierren la sesión si están desatendidas?
Todos los sistemas y terminales utilizan pantallas bloqueadas con contraseña tras 5 minutos de inactividad.
Seguridad de red
¿Cuenta con protección de firewall?
Sí, tenemos acceso a sus datos, tanto para uso interno como para uso interno de los clientes.
Seguridad de datos
¿Se puede acceder a las copias de seguridad del sistema y de los datos durante un período de al menos 30 días?
Sí.
¿Cómo se almacenan las copias de seguridad en diferentes sistemas, física y lógicamente? ¿Qué se necesitaría para perder ambos?
Usamos diferentes sistemas para servidores y copias de seguridad, tanto físicas, lógicas como geográficas. No se puede acceder a los sistemas de respaldo desde los servidores de aplicaciones. Es casi imposible perderlos, ya que un ataque o incidente debería producirse en ambos sistemas al mismo tiempo.
Continuidad del negocio y recuperación ante desastres
¿Tiene un plan de continuidad empresarial y recuperación ante desastres?
Sí. Tenemos un plan de continuidad empresarial detallado y un equipo de respuesta a incidentes dedicado a garantizar un servicio continuo a nuestros clientes.
Terminación del contrato
¿Cómo se eliminan los datos después de la finalización del servicio o del contrato?
Según nuestros acuerdos de servicio, todos los datos de los clientes se eliminan de nuestros sistemas en caso de rescisión del contrato. Para garantizar que esto se haga, seguimos nuestra política de destrucción y eliminación.
EU Digital Services Act (DSA)
Our Commitment to Transparency
At D4H, we're committed to ensuring transparency in our operations, especially in our role as an intermediary service provider. This section provides detailed information on our content moderation activities, data hosting practices, and compliance with the Digital Services Act (DSA).
- We take a proactive approach to maintaining a safe and compliant platform.
- We request that D4H users notify us of any illegal content so we can review, notify account owners and remove content that violates applicable laws if necessary.
- We do not use automated tools for content moderation of private customer data.
- Content that breaches our terms of service is subject to removal or other actions.
- We comply with legal orders from authorities regarding the removal or disabling of access to illegal content.
- We take user complaints seriously and have established a structured process to address them efficiently.
Submission/Complaints process:
- Users can submit complaints via email to security-team@d4h.com.
- Complaints are reviewed by our moderation team, and users are notified of the outcome.
- If users are unsatisfied with the resolution, they can appeal the decision.
Reports
Our transparency reports are publicly accessible and available in English to the Member States where we operate. These reports can be seen here.
We publish our transparency reports at least once every six months. The next report will be available on 1st December 2024.
Point of contact
To streamline interactions with authorities, users, and other stakeholders, we have established a Single Point of Contact (SPOC) for all inquiries related to our intermediary services and compliance with the Digital Services Act (DSA).
Name: Jenny Appleby
Role: Information Security Manager
Email: security-team@d4h.com
If you have any questions or need assistance regarding our intermediary services, content moderation practices, legal orders, or any other related matters, please do not hesitate to contact our Single Point of Contact. We are committed to providing timely and accurate responses to all inquiries.