Medidas técnicas y organizativas (MTO)

Seguridad física

Inbenta se ejecuta sobre AWS en varias regiones. La infraestructura y los sistemas de soporte se alojan en las instalaciones de AWS; por consiguiente, los controles de seguridad física, la seguridad in situ y la supervisión de los centros de datos son responsabilidad de AWS. La seguridad y privacidad de las aplicaciones, fuera del alcance de AWS y del modelo de responsabilidad compartida, es gestionada por Inbenta y cubierta por el cumplimiento de GDPR, ISO9001, ISO27001 e ISO27017.https://aws.amazon.com/compliance/data-center/controls/
https://aws.amazon.com/security/

• Controles ISO 27002 e ISO 27017: A.11.1

Equipo de seguridad dedicado y SIEM

Nuestros monitores y alarmas de seguridad (sistemas activos/pasivos), así como nuestro socio externo de seguridad SIEM, están totalmente integrados en nuestras operaciones, proporcionando seguridad 24×7 y equipos de seguridad listos para responder a alertas y eventos.

• Controles ISO 27002 e ISO 27017: A.12.4.1, A.13.1.2, A.16.1.1, CLD.12.4.5

Protección

Nuestra red está protegida y aislada por cortafuegos, NACL (lista de control de acceso a la red), transporte HTTPS seguro a través de redes públicas, monitorización DMZ, auditorías periódicas y tecnologías de detección y/o prevención de intrusiones en la red (IDS/IPS) que monitorizan y/o bloquean el tráfico malicioso y los ataques a la red, protección activa DDoS y monitorización de suplantación de DNS.

• Controles ISO 27002 e ISO 27017: A.13.1.1, A.13.1.2, A.13.1.3

Protección

Nuestra red está protegida y aislada por cortafuegos, NACL (lista de control de acceso a la red), transporte HTTPS seguro a través de redes públicas, monitorización DMZ, auditorías periódicas y tecnologías de detección y/o prevención de intrusiones en la red (IDS/IPS) que monitorizan y/o bloquean el tráfico malicioso y los ataques a la red, protección activa DDoS y monitorización de suplantación de DNS.

• Controles ISO 27002 e ISO 27017: A.13.1.1, A.13.1.2, A.13.1.3

Arquitectura

Nuestra arquitectura de seguridad de red consta de varias zonas. Los sistemas más sensibles, como las bases de datos, la caché y los servidores NFS, están protegidos en nuestras zonas más privadas totalmente aisladas. Otros sistemas se alojan en zonas medianamente privadas, como los procesadores de webhooks en subredes privadas detrás de un NAT de sólo salida. Dependiendo de la zona, se aplicarán controles de acceso y supervisión de seguridad adicionales. Se utilizan DMZ entre Internet o subredes públicas (sólo en los equilibradores de carga), e internamente entre las distintas zonas de confianza.

• Controles ISO 27002 e ISO 27017: A.13.1.1, A.13.1.3

Cortafuegos

Existen sistemas cortafuegos para filtrar el tráfico de red entrante no autorizado procedente de Internet y denegar cualquier tipo de conexión de red que no esté explícitamente autorizada. Se utiliza la función de traducción de direcciones de red (NAT) para gestionar las direcciones IP internas. El acceso administrativo al cortafuegos está restringido a los empleados autorizados.

• Controles ISO 27002 e ISO 27017: A.13.1.1, A.13.1.3

Exploración de vulnerabilidades de la red

La exploración activa de la seguridad de la red se ejecuta de forma activa en todas las subredes de todas las regiones para identificar rápidamente los sistemas que no cumplen la normativa o que son potencialmente vulnerables. También se ejecutan análisis pasivos programados en todas las subredes internas o privadas, así como en todos los puertos expuestos (http/https) de la subred DMZ o pública.

• Controles ISO 27002 e ISO 27017: A.12.6.1, A.12.7.1

Pruebas de penetración de terceros

Además de nuestro amplio programa interno de análisis y pruebas, cada año Inbenta contrata a socios externos (Ackcent Cybersecurity) para realizar una amplia prueba de penetración en las redes de producción públicas y privadas de Inbenta, así como auditorías trimestrales de todos los productos.

• Controles ISO 27002 e ISO 27017: A.12.6.1, A.12.7.1, A.14.2.8

Gestión de incidentes de seguridad (SIEM)

Nuestro sistema de Gestión de Incidentes de Seguridad (SIEM) recopila registros exhaustivos de importantes dispositivos de red y sistemas host. El SIEM envía alertas sobre activadores que notifican al equipo de seguridad basándose en los eventos correlacionados para una mayor investigación y respuesta.

Detección y prevención de intrusiones

Los puntos de entrada y salida del flujo de datos de las aplicaciones se supervisan con sistemas de detección de intrusiones (IDS) o sistemas de prevención de intrusiones (IPS). Esto se integra con SIEM y operaciones 24/7.

• Controles ISO 27002 e ISO 27017: A.12.4.1, A.13.1.1

Mitigación DDoS

Inbenta utiliza la supervisión del flujo de red en tiempo real para inspeccionar el tráfico entrante en todos los puntos de entrada HTTP, como las terminaciones https de CDN, las escuchas https del equilibrador de carga y todas las terminaciones WebSockets seguras (wss://), con el fin de realizar una mitigación automatizada de la mayoría de las técnicas DDoS en la capa 7 (WAF), y proteger contra todos los ataques de infraestructura conocidos (capas 3 y 4).

• Controles ISO 27002 e ISO 27017: A.13.1.1

Acceso lógico

Inbenta utiliza una arquitectura de seguridad basada en roles y exige que los usuarios del sistema se identifiquen y autentiquen antes de utilizar cualquier recurso del sistema. Los recursos de producción y todas las acciones administrativas se registran y almacenan durante al menos 2 años con una suma de comprobación inmutable para evitar que se modifiquen los registros de auditoría.
Todos los recursos de producción se gestionan en el sistema de inventario de activos y a cada activo se le asigna un propietario. Los propietarios son responsables de aprobar el acceso al recurso y de realizar revisiones periódicas del acceso por rol. El acceso a cualquier red o subsistema de administración de Inbenta Production está restringido por una necesidad explícita de conocimiento según los controles ISO27001 y 27017. Todo está controlado y supervisado por nuestro Equipo de Operaciones con roles granulares y específicos por empleado. Los empleados que acceden a la administración de la Red de Producción de Inbenta están obligados a utilizar múltiples factores de autenticación, teniendo ambos factores credenciales que caducan con TTLs bajos obligando a rotarlas continuamente.

• Controles ISO 27002 e ISO 27017: A.9.1, A.9.2, A.9.4

Gestión del cambio

Todos los cambios en nuestros sistemas operativos se gestionan mediante nuestro procedimiento de gestión de cambios, que garantiza el control de todos los cambios, la evaluación de su impacto y sus riesgos, y un proceso formal de aprobación antes de su puesta en marcha.

• Controles ISO 27002 e ISO 27017: A.12.1.2

En el caso de que el Cliente necesite comunicar una incidencia de seguridad a Inbenta, el canal adecuado es el Centro de Soporte de Inbenta (https://support.inbenta.io) o directamente a privacy@inbenta.com .

En caso de que Inbenta tenga conocimiento de un incidente o cambio importante dentro de la plataforma de Inbenta, que afecte a la seguridad de la información del Cliente, Inbenta informará al Cliente de dicho incidente o cambio importante y de su impacto sobre la información afectada.

Inbenta compartirá toda la información necesaria para que el Cliente alerte a sus usuarios y aplique mitigaciones si es posible.

Inbenta notificará al cliente a través de correo electrónico al equipo de Cliente asignado a Inbenta, o a los contactos especificados en este contrato (apartado Avisos) en su defecto, en un plazo no superior a 48h desde que Inbenta tenga conocimiento de la incidencia o cambio importante.

Inbenta también publicará un informe de incidencias o cambios importantes en el Centro de Soporte (https://support.inbenta.io) y mantendrá este informe actualizado con el último estado hasta su cierre.

Gestión de la capacidad

Nuestro procedimiento de gestión de la capacidad tiene por objeto garantizar que se cubran las necesidades actuales y futuras de capacidad informática, supervisar y controlar el rendimiento de la infraestructura informática, elaborar planes de capacidad en función de los niveles de servicio acordados y gestionar y racionalizar la demanda de servicios informáticos.

La capacidad del sistema se supervisa continuamente y, en caso de alerta del sistema, los incidentes se comunican a nuestros equipos 24 horas al día, 7 días a la semana, que proporcionan cobertura de operaciones, ingeniería de redes y seguridad.

• Controles ISO 27002 e ISO 27017: A.12.1.3

Control contra el malware

El equipo del SGSI controla y previene el malware con regularidad y lo incluye en la formación sobre seguridad y en el Código de Conducta Profesional.

El servicio SOC proporcionado por nuestro socio Ackcent comprende servicios proactivos para la prevención de incidentes de seguridad, incluida la supervisión continua de amenazas de ciberseguridad, la supervisión continua y las alertas de vulnerabilidad para activos digitales críticos, la supervisión en tiempo real, la detección y el análisis de incidentes, y la respuesta remota a incidentes basada en la coordinación de recursos y la rápida aplicación de contramedidas de seguridad.

• Controles ISO 27002 e ISO 27017: A.12.2.1

Respuesta a incidentes de seguridad

En caso de alerta en el sistema, los incidentes se comunican a nuestros equipos, que cubren las operaciones, la ingeniería de red y la seguridad las 24 horas del día, los 7 días de la semana. Los empleados reciben formación sobre los procesos de respuesta a incidentes de seguridad controlados por las normas ISO9001 y 27001.

• Controles ISO 27002 e ISO 27017: A.16.1

Registro y supervisión

Nuestro sistema de Gestión de Incidentes de Seguridad (SIEM) recopila registros exhaustivos de importantes dispositivos de red y sistemas host. El SIEM envía alertas sobre activadores que notifican al equipo de seguridad basándose en los eventos correlacionados para una mayor investigación y respuesta.

• Controles ISO 27002 e ISO 27017: A.12.4.1

Endurecimiento

Inbenta utiliza el hardening como parte del ciclo de desarrollo/despliegue. Todos los entornos/imágenes/contenedores de producción se construyen y despliegan utilizando hardening a partir de imágenes estables, actualizadas y homologadas. Las nuevas VM/imágenes/contenedores se crean siempre a partir de imágenes de plantilla base anteriores (contenedores, AMIs) dentro de un ciclo de vida monitorizado (hardening).

Cualquier cambio de producción en las imágenes se prueba previamente en entornos de desarrollo y preproducción.

Todas las imágenes/contenedores base se reconstruyen y actualizan de forma programada.

• Controles ISO 27002 e ISO 27017: CLD.9.5.2

Cifrado en tránsito

Las comunicaciones entre usted y los servidores de Inbenta están encriptadas a través de las mejores prácticas de la industria HTTPS utilizando el protocolo Transport Layer Security (TLS 1.2 y TLS 1.3 para algunas terminaciones) sobre redes públicas con las últimas suites de cifrado no débiles. Además, no se admiten protocolos SSL. TLS también es compatible con el cifrado de correos electrónicos. Encontrará una especificación más detallada en la sección " Seguridad e integridaddela transmisión" de este documento.

• Controles ISO 27002 e ISO 27017: A.13.2.3, A.14.1.2

Cifrado en reposo

Todos los datos, discos, sistemas de archivos y almacenes de datos gestionados por Inbenta se cifran mediante sistemas de gestión de claves gestionados por el proveedor (AWS KMS - AWS CMK) utilizando claves gestionadas y mantenidas por Inbenta y su programa de rotación. Todos los datos se cifran utilizando el algoritmo estándar del sector AES-256 y los cifrados por bloques más potentes. Dentro del servicio AWS-KMS, Inbenta utiliza 2 tipos de claves gestionadas:
Cifrado con claves proporcionadas por el cliente y Cifrado con claves gestionadas por AWS KMS.

• Controles ISO 27002 e ISO 27017: A.8.2.3, A.18.1.4

Tiempo de actividad

Inbenta mantiene el Portal de Estado, disponible para usuarios registrados, que incluye detalles de disponibilidad del sistema, mantenimiento programado, historial de incidentes de servicio y eventos de seguridad relevantes.

• Controles ISO 27002 e ISO 27017: CLD.12.4.5

Redundancia

La redundancia está integrada en la infraestructura del sistema que soporta los servicios de producción para ayudar a garantizar que no haya un único punto de fallo, incluidos cortafuegos, enrutadores y servidores. En caso de que falle un sistema principal, el hardware redundante está configurado para ocupar su lugar.
Inbenta emplea clústeres de servicios y redundancias de red para eliminar los puntos únicos de fallo.

• Controles ISO 27002 e ISO 27017: A.17.2

Copias de seguridad

El personal de operaciones realiza copias de seguridad de los datos de los clientes y supervisa su finalización y las excepciones. En caso de que se produzca una excepción, el equipo de operaciones soluciona el problema para identificar la causa raíz y volver a ejecutar la copia de seguridad inmediatamente, si es posible, o como parte de la siguiente copia de seguridad programada. La infraestructura de copia de seguridad es gestionada por el proveedor de la nube y no implica medios físicos manipulados por el personal de Inbenta. La infraestructura de copia de seguridad reside en almacenes de datos de larga duración detrás de redes privadas protegidas lógicamente de otras redes y está cifrada AES256 en reposo mediante el sistema de gestión de claves del proveedor de la nube (AWS KMS) utilizando claves privadas gestionadas por Inbenta que se rotan según lo programado.
Se realiza una comprobación aleatoria programada de la integridad de la copia de seguridad cada semana.
Las copias de seguridad se realizan, como mínimo, cada 24 horas para todos los datos de producción. Dependiendo del tipo de clasificación de los datos del almacenamiento respaldado se especifica una periodicidad diferente en 3 niveles: 1) Recuperación puntual para datos críticos, 2) Cada 12h para datos de configuración y 3) Cada 24h para datos menos cambiantes y de registro.

• Controles ISO 27002 e ISO 27017: A.12.3

Plan de recuperación en caso de catástrofe y continuidad de la actividad

Nuestro Plan de Recuperación de Catástrofes (DRP) y nuestro Plan de Continuidad de Negocio (BCP) garantizan que nuestros servicios sigan estando disponibles o sean fácilmente recuperables en caso de catástrofe. Esto se consigue mediante la creación de un entorno técnico sólido y el establecimiento de un RTO y un RPO de bajo valor, determinados por un Análisis de Impacto en el Negocio (BIA). Se tienen en cuenta varios escenarios perturbadores, que abarcan situaciones como la indisponibilidad de personal y proveedores. Las simulaciones y pruebas de recuperación en caso de catástrofe se ejecutan y auditan anualmente, como exigen las normas ISO 27001 e ISO 27017.

• Controles ISO 27002 e ISO 27017: A.17.1

Protocolo de tiempo de red, sincronización y coherencia del reloj

Inbenta utiliza el protocolo y los servicios NTP para mantener todos los relojes sincronizados y coherentes en todos los servicios, módulos y SO. Utilizamos servidores NTP públicos de ntp.org (por región) https://support.ntp.org/bin/view/Servers/NTPPoolServers para los componentes con acceso a Internet, y Amazon Time Sync Service (de AWS) para todas las redes privadas o todos los módulos sin acceso a Internet. Amazon Time Sync Service, un servicio de sincronización horaria prestado a través del Protocolo de Tiempo de Red (NTP) que utiliza una flota de relojes atómicos y conectados por satélite redundantes en cada región para ofrecer un reloj de referencia de gran precisión.Nuestro Plan de Recuperación de Desastres (DRP) y el Plan de Continuidad del Negocio (BCP) garantizan que nuestros servicios sigan estando disponibles o sean fácilmente recuperables en caso de desastre. Esto se consigue mediante la creación de un entorno técnico sólido y el establecimiento de un RTO y un RPO de bajo valor, determinados por un Análisis de Impacto en el Negocio (BIA). Se consideran varios escenarios de interrupción, que cubren situaciones como la indisponibilidad de personal y proveedores. Las simulaciones y pruebas de recuperación en caso de catástrofe se ejecutan y auditan anualmente, como exigen las normas ISO 27001 e ISO 27017.

Formación en seguridad

Al menos dos veces al año, los ingenieros y desarrolladores participan en la formación sobre código seguro y seguridad por diseño desarrollando las mejores prácticas, los vectores de ataque más comunes y los controles de seguridad de Inbenta. Esta formación se imparte mediante programas de formación internos y externos y suites de formación.

• Controles ISO 27002 e ISO 27017: A.7.2.2

Controles de seguridad OWASP

Inbenta utiliza todas las reglas de seguridad más conocidas de OWASP. Estas incluyen controles inherentes que reducen nuestra exposición a Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), y SQL Injection (SQLi), entre otros. Tanto en análisis estático de código como en análisis dinámico, así como reglas WAF (cortafuegos de aplicaciones web) activas en tiempo real frente a cualquier receptor HTTP.

• Controles ISO 27002 e ISO 27017: A.14.2.4

CONTROL DE CALIDAD

Nuestro departamento de control de calidad revisa y prueba nuestro código base. Se llevan a cabo varias pruebas manuales y automatizadas y se integran con las canalizaciones CI/CD para desplegar únicamente código probado y seguro. Nuestro equipo de control de calidad participa activamente en la seguridad de la aplicación final, así como en el proceso de desarrollo del flujo de versiones.

• Controles ISO 27002 e ISO 27017: A.14.2.1, A.14.2.8

Entornos separados

Los entornos de prueba, desarrollo y preparación para el desarrollo de productos están separados física y lógicamente del entorno de producción mediante aislamiento de red, cortafuegos y NACL. En el entorno de desarrollo o prueba no se utilizan datos de producción reales, sino que pueden generarse datos simulados y aleatorios para simular grandes volúmenes de datos.

• Controles ISO 27002 e ISO 27017: A.12.1.4, A.14.2.6, A.14.3.1

Exploración dinámica interna de vulnerabilidades

Empleamos una serie de herramientas de seguridad cualificadas de terceros para analizar continuamente de forma dinámica nuestras aplicaciones con respecto a las reglas OWASP. Además, todos los gestores HTTP tienen un WAF activo que bloquea todas las reglas OWASP y top conocidas en tiempo real.

• Controles ISO 27002 e ISO 27017: A.12.6.1, A.14.2.5

Exploración dinámica externa de vulnerabilidades

Inbenta utiliza un socio de seguridad externo para el equipo SOC-SIEM externo.
El socio externo utiliza tecnologías de escaneado estándar del sector y una metodología formal especificada por Inbenta (todas las normas OWASP, y muchas más).
Estas tecnologías se personalizan para probar la infraestructura y el software de la organización de forma eficiente, minimizando al mismo tiempo los riesgos potenciales asociados al escaneado activo. Las repeticiones de las pruebas y los escaneos bajo demanda se realizan en función de las necesidades. Los escaneos se realizan durante las horas de menor actividad. Las herramientas que requieren instalación en el sistema Inbenta se implementan a través del proceso de gestión de cambios.

• Controles ISO 27002 e ISO 27017: A.12.5.1, A.12.6.1, A.12.7.1

Análisis estático del código

Los repositorios de código fuente de las aplicaciones de Inbenta, tanto para nuestra WebGUI como para las APIs de producto, se escanean continuamente en las fases de prueba y revisión en los pipelines y flujos de CI/CD (integración continua), y se integran con todos los flujos de QA y release bloqueando cualquier lanzamiento o despliegue de código no conforme o subestándar. Además, nuestras herramientas integradas de análisis estático activan exploraciones programadas.

• Controles ISO 27002 e ISO 27017: A.12.6.1, A.14.2.8

Pruebas de penetración en la seguridad

Además de nuestro amplio programa interno de análisis y pruebas, cada trimestre Inbenta emplea a socios expertos en seguridad de terceros (SOC-SIEM externo y pen-tests y auditorías programadas) para realizar pruebas de penetración detalladas y análisis de código dinámico en diferentes aplicaciones de nuestra familia de productos.

• Controles ISO 27002 e ISO 27017: A.12.6.1, A.14.2.8

Opciones de autenticación

Para todas las aplicaciones WebGUI, ofrecemos el inicio de sesión de cuenta Inbenta con 2FA o SSO personalizado (IdP).
Para las API de producto y/o integraciones de cliente (JS SDK), ofrecemos un flujo de autenticación con claves API, secretos/tokens (y claves de dominio para JS SDK) basado en JWT (JSON Web Token) para autenticar y autorizar todas las llamadas y acciones API con el backend.

• Controles ISO 27002 e ISO 27017: A.9.2.3, A.9.4.1, A.9.4.2, CLD.9.5.1

Inicio de sesión único (SSO)

El inicio de sesión único (SSO) le permite autenticar a los usuarios en sus propios sistemas sin necesidad de que introduzcan credenciales de inicio de sesión adicionales para su WebGUI e instancias de usuario de Inbenta. Se admite
Security Assertion Markup Language (SAML).

Puedes integrar tu SSO con Inbenta, ya que funciona como SP (Service provider) para SAMLv2.

• Controles ISO 27002 e ISO 27017: A.9.4.2

Política de contraseñas

Las contraseñas sólo pueden ser restablecidas por el usuario final con una dirección de correo electrónico activa (el nombre de usuario es la misma dirección de correo electrónico). El usuario final puede generar una URL temporal para restablecer la contraseña en la página de inicio de sesión. Las políticas de contraseñas están aplicando los últimos requisitos mínimos más conocidos y se han habilitado medidas adicionales de detección anti-bot en todas las pantallas de gestión de usuarios/contraseñas. Los administradores también pueden configurar una política de rotación de contraseñas por usuario.

• Controles ISO 27002 e ISO 27017: A.9.4.3

Autenticación de dos factores (2FA)

Si estás utilizando el inicio de sesión de Inbenta en tu instancia de Soporte de Inbenta, puedes activar la autenticación de 2 factores (2FA) para agentes y administradores, incluyendo aplicaciones como Authy y Google Authenticator para generar contraseñas OOTP.
2FA proporciona otra capa de seguridad a tu cuenta de Inbenta, haciendo que sea más difícil para otra persona iniciar sesión como tú. Si estás usando tu propio SSO IdP (Proveedor de Identidad) para forzar a tus usuarios a usar 2FA, puedes integrar tu SSO con Inbenta, ya que funciona como un SP (Proveedor de Servicio) para SAMLv2.

• Controles ISO 27002 e ISO 27017: A.9.2.3, A.9.4.2

Almacenamiento seguro de credenciales

Inbenta sigue las mejores prácticas de almacenamiento seguro de credenciales al no almacenar nunca contraseñas en formato legible por humanos, y sólo después de un hash seguro, salado y unidireccional sobre el sistema de archivos de bases de datos o plataformas no-SQL con cifrado en reposo y todas las operaciones en tránsito hacia el backend.

• Controles ISO 27002 e ISO 27017: A.8.2.3, A.9.2.4, A.9.4.2, A.14.1.2

Seguridad y autenticación de API

Las APIs de producto de Inbenta son SSL-only, HTTPS full REST-API con los últimos suites de cifrado en los HTTP listeners usando TLS. Usted debe tener una clave de API verificada y secreta/token y para hacer cualquier solicitud de API de producto usted necesita previamente hacer una llamada obligatoria al flujo de solicitud auth en la API de autorización, una capa adicional para todas las integraciones del lado del cliente (javascript SDK) también están disponibles con el fin de comprobar todo el dominio de Origen de las integraciones SDK.
SAML SP (proveedor de servicios) de autenticación también es compatible con el frontend SSO de todos los accesos de inicio de sesión WebGUI diferentes de las APIs (aplicación). Obtenga más información sobre la seguridad de las API y las terminaciones de los endpoints en https://developers.inbenta.io/.

• Controles ISO 27002 e ISO 27017: A.9.1.2, A.9.4.2, CLD.9.5.1, A.10.1.1

Privilegios de acceso y funciones

El acceso a datos y productos dentro de Inbenta Workspace y CM/Chat se rige por derechos de acceso, y puede configurarse para definir privilegios de acceso granulares. Inbenta tiene varios niveles de permiso para los usuarios (propietario, administrador, agente, usuario final, etc.), y una granularidad de roles por grupo. El acceso a los datos para la API/SDK se rige por claves API, tokens y secretos, así como por muchas cabeceras de identificación en ambos niveles para autenticación y autorización.

• Controles ISO 27002 e ISO 27017: A.9.1.2, A.9.2.3, A.9.4.1

Alta disponibilidad y acceso al producto

A algunos puntos finales de autorización y URLs se accede a través de una CDN (red de distribución de contenidos) con el fin de garantizar una baja latencia y alta disponibilidad para impulsar la entrega de contenidos en función de las ubicaciones geográficas del usuario final. Además, puede configurarse un enrutamiento DNS regional o basado en la latencia para las integraciones SDK, tal y como se describe en: https://developers.inbenta.io/general/authorization/regions-and-endpoints

• Controles ISO 27002 e ISO 27017: A.14.1.2, A.14.1.3, A.17.2.1

Archivos adjuntos privados

En Inbenta Messenger, por defecto todas las instancias están aisladas y protegidas, todos los activos y archivos adjuntos son privados y se requiere un inicio de sesión exitoso y un permiso/rol para poder ver los archivos adjuntos o mensajes del ticket. Además, todos los activos y archivos adjuntos se almacenan en un almacén de datos cifrado y se sirven a los agentes con una URL firmada temporal que deja de estar disponible después de varios minutos.

• Controles ISO 27002 e ISO 27017: CLD.9.5.1, A.10.1.1, A.13.1.3

Seguridad e integridad de las transmisiones

Todas las comunicaciones con los servidores de Inbenta (de ida y vuelta) están encriptadas usando HTTPS estándar en redes públicas. Esto asegura que todo el tráfico entre usted e Inbenta es seguro durante el tránsito. Puede encontrar una lista de protocolos SSL/TLS y suites de cifrado en: Regiones y puntos finales - Desarrolladores de Inbenta para todas las terminaciones y puntos finales de la API. Además, para funciones en tiempo real como el Chat en tiempo real, Inbenta utiliza el protocolo seguro WebSockets como alternativa complementaria segura y orientada al streaming HTTP.
Todos los SDKs están alojados en un datastore seguro y encriptado AES256 y servidos a través de una CDN con WAF (comprobación y auditoría de cookies/cabeceras) y todas las integraciones SDK de Inbenta utilizan una integridad de sub-recursos (sha384 SRI).

• Controles ISO 27002 e ISO 27017: A.13.1.2, A.14.1.2, A.14.1.3

Firma de correo electrónico saliente de Messenger (DKIM)

El soporte de Inbenta Messenger ofrece DKIM (Domain Keys Identified Mail) para firmar los correos salientes de Inbenta Messenger cuando has configurado un dominio de correo de respuesta saliente en tu instancia de Inbenta Messenger, y SMTP sobre SSL/TLS (puerto 465) y STARTTLS (puerto 587) para los protocolos de envío seguro.

• Controles ISO 27002 e ISO 27017: A.13.2.3

Integridad de los recursos secundarios del SDK

Una comprobación de integridad de sub-recursos (SRI) es una característica de seguridad que permite a los navegadores verificar que los recursos que obtienen se entregan sin manipulación inesperada. Todos los SDK de Inbenta disponen de esta función.

• Controles ISO 27002 e ISO 27017: A.14.1.2, A.14.1.3

Auditores

AENOR, proveedor auditor, forma parte de la red IQNet ASSOCIATION para ver con cobertura global todas sus certificaciones (ISOs mundiales):
https://www.inbenta.com/compliance/certifications/
http://www.iqnet-certification.com/

• Controles ISO 27002 e ISO 27017: A.18.2.1

ISO 9001

Inbenta cuenta con la certificación ISO 9001.

ISO 27001

Inbenta cuenta con la certificación ISO 27001.

ISO 27017

Inbenta cuenta con la certificación ISO 27017.

ISO 27001

Inbenta cuenta con la certificación ISO 27701.

Programa de certificación de privacidad

Hemos recibido un sello de certificación que significa que nuestra declaración de privacidad y nuestras prácticas han sido revisadas para comprobar que cumplen las normas del sector, que pueden consultarse en su página de validación.

https://privacy.truste.com/privacy-seal/validation?rid=9b207c96-c411-409e-93d3-abf615471625

• Controles ISO 27002 e ISO 27017: A.6.1.4, A.18.1.4, A.18.2.1

Marco de protección de datos

Inbenta ha certificado el cumplimiento del Marco de Privacidad de Datos UE-EE.UU., la Extensión del Reino Unido al DPF UE-EE.UU., y el Marco de Privacidad de Datos Suiza-EE.UU. según lo establecido por el Departamento de Comercio de los Estados Unidos.

• Controles ISO 27002 e ISO 27017: A.18.1.4, A.18.2.1

Política de privacidad de Inbenta

https://www.inbenta.com/compliance/privacy-policy

• Controles ISO 27002 e ISO 27017: A.18.1.4

Uso de Inbenta en un entorno PCI

Inbenta no cumple con PCI DSS. Añadir un componente de un proveedor que no cumple con PCI DSS en la página de pago con tarjeta de crédito haría que todo el proceso de pago no cumpliera con PCI DSS. La alternativa es alojar ese script en el centro de datos del cliente, y asegurar el script utilizando Subresource Integrity.

• Controles ISO 27002 e ISO 27017: A.18.2.2

Política de seguridad de la información para las relaciones con los proveedores

En cuanto a nuestros proveedores de servicios e infraestructuras, mantenemos una política de evaluación dinámica del riesgo clasificando nuestro riesgo de comportamiento no conforme en función de nuestra verificación del cumplimiento de las normas internacionales de seguridad y privacidad por parte de nuestros proveedores mediante la comprobación de sus certificaciones de normas. En caso de no proporcionar una certificación válida, les pedimos una descripción detallada de los registros y controles obligatorios del SGSI, evaluando el riesgo como mayor que el de aquellos proveedores que sí están certificados. Nuestra política es mantener el menor número posible de proveedores no certificados.

• Controles ISO 27002 e ISO 27017: A.15.1.1

Los contratistas deben cumplir los siguientes requisitos en el manejo, gestión, almacenamiento y procesamiento de la información perteneciente a Inbenta Holdings Inc:

• El acceso a los activos y sistemas de información será el mínimo necesario para alcanzar los objetivos empresariales.
• Cuando finalice la necesidad de acceder a la información, los activos y los sistemas de Inbenta Holdings Inc., toda la información de Inbenta Holdings Inc. deberá devolverse a Inbenta Holdings Inc. al finalizar el contrato.
• Inbenta Holdings Inc. puede supervisar el uso de su información, activos de información y sistemas de información para fines comerciales legales.
• Cualquier persona con acceso a la información, activos de información y sistemas de Inbenta Holdings Inc. debe cumplir con los requisitos del SGSI de Inbenta Holdings Inc. El incumplimiento de estas políticas y otras instrucciones pertinentes puede constituir un incumplimiento de contrato y dar lugar a la rescisión del contrato o a acciones legales.
• El personal del proveedor sólo entrará en las instalaciones de Inbenta Holdings Inc. con un pase de seguridad adecuado expedido por Inbenta Holdings Inc. y escoltado por nuestro personal. En caso necesario, deberán firmar un Acuerdo de confidencialidad.
• La transmisión de información entre Inbenta Holdings Inc. y un proveedor debe estar encriptada a un nivel acorde con la clasificación de seguridad de la información y con los estándares internacionales.
  Los datos y la información de Inbenta Holdings Inc. no pueden utilizarse con fines de prueba a menos que lo autoricen nuestros COO, CTO y CISO. En caso de ser autorizados, los datos y la información que vayan a ser utilizados con fines de prueba deberán ser anonimizados, codificados o transformados de tal forma que ningún dato o información de Inbenta Holdings Inc. pueda ser reconstruido a partir de los utilizados con fines de prueba.
• La información de Inbenta Holdings Inc. no podrá ser copiada por ningún proveedor salvo en la medida en que sea necesario para prestar un servicio acordado a Inbenta Holdings Inc.
• Los proveedores deben contar con un proceso de notificación de incidentes de seguridad según un estándar y diseño aceptables para Inbenta Holdings Inc. para garantizar que cualquier incidente que afecte a la información de Inbenta Holdings Inc. se notifique inmediatamente a Inbenta Holdings Inc. Los proveedores deben comprometerse a llevar a cabo cualquier acción correctiva requerida por Inbenta Holdings Inc. y asegurarse de que se implementa de forma auditable.
• Un proveedor que almacene datos de Inbenta Holdings Inc. en nombre de Inbenta Holdings Inc. debe disponer de procesos que garanticen que la información crítica de Inbenta Holdings Inc. en su poder pueda recuperarse rápida y eficazmente tras una emergencia.
• En caso de que un proveedor subcontrate a un tercero (ya sea en forma de servicios o de colaboración con personas), dicho proveedor está obligado a lo siguiente:
  • Aceptación de este hecho por parte de Inbenta Holdings Inc.
  • Informar y garantizar que el tercero subcontratado cumple con los aspectos relacionados con la política de seguridad de Inbenta Holdings Inc.
  • Asegúrese de que el tercero no subcontrate los servicios de otro.

Seguridad mediante acuerdos con los proveedores

Los procedimientos para evaluar el nivel de seguridad de nuestros proveedores se basan en una evaluación dinámica del riesgo clasificando nuestro riesgo de comportamiento no conforme en función de nuestra verificación del cumplimiento de las normas internacionales de seguridad y privacidad por parte de nuestros proveedores mediante la comprobación de sus certificaciones de normas. En caso de no proporcionar una certificación válida, les pedimos una descripción detallada de los registros y controles obligatorios del SGSI, evaluando el riesgo como mayor que el de aquellos proveedores que sí están certificados.

• Controles ISO 27002 e ISO 27017: A.15.1.2

Acuerdos de confidencialidad y no divulgación

Todos nuestros proveedores deben firmar compromisos de confidencialidad y acuerdos de no divulgación (NDA) para proteger el secreto de la información de Inbenta y de nuestros clientes.

• Controles ISO 27002 e ISO 27017: A.13.2.4

Seguimiento y revisión de los servicios de los proveedores

Inbenta ha implantado un proceso de evaluación de proveedores que implica la revisión periódica del cumplimiento de las garantías de nivel de servicio (SLA) acordadas y del cumplimiento de los requisitos de los servicios establecidos.

• Controles ISO 27002 e ISO 27017: CLD.12.4.5

Cadena de suministro de las tecnologías de la información y la comunicación

La política de Inbenta es garantizar la continuidad de nuestros servicios mediante la diversificación y redundancia de proveedores. Asimismo, exigimos a nuestros proveedores garantías sobre la disponibilidad de sus servicios así como políticas de redundancia. Los proveedores de servicios en la nube deben garantizar que se mantienen o superan los niveles de seguridad de la información respecto a los que acordamos con nuestros clientes.

• Controles ISO 27002 e ISO 27017: A.15.1.3

Tratamiento de la IIP

Inbenta tiene acuerdos de tratamiento de datos personales (DPA) con todos los proveedores que prestan servicios que implican el tratamiento de datos personales de los que Inbenta o nuestros clientes son responsables.

• Controles ISO 27002 e ISO 27017: A.18.1.4

Cese del servicio

Inbenta exige a sus proveedores, y especialmente a aquellos que prestan servicios en la nube, que eliminen toda la información que traten una vez acordada la finalización del servicio. Esta política se aplica a toda la información que se trata en virtud del servicio prestado, ya sea propiedad de Inbenta o de nuestros clientes.

Los principales proveedores de Inbenta cumplen la norma ISO-27017, por lo que están certificados en la retirada de activos de clientes de servicios en la nube

• Controles ISO 27002 e ISO 27017: A.11.2.7, CLD.8.1.5

Segregación de entornos

Inbenta exige a sus proveedores, y especialmente a los que prestan servicios en la nube, que garanticen la segregación de los entornos virtuales de procesamiento de la información. Los proveedores de servicios en la nube deben aplicar una segregación lógica adecuada de los datos de los clientes de servicios en la nube, las aplicaciones virtualizadas, los sistemas operativos, el almacenamiento y la red para la separación de los recursos utilizados por los clientes de servicios en la nube en entornos multiarrendatario.

Cuando el servicio en nube implique multiarrendamiento, el proveedor de servicios en nube deberá aplicar controles de seguridad de la información para garantizar el aislamiento adecuado de los recursos utilizados por los distintos arrendatarios.

• Controles ISO 27002 e ISO 27017: CLD.9.5.1

Políticas

Inbenta ha desarrollado un amplio conjunto de políticas de seguridad que cubren la seguridad de la información y la privacidad. Estas políticas se comparten con todos los empleados, clientes y contratistas con acceso a los activos de información de Inbenta, y se ponen a su disposición. Puede solicitar una copia de nuestra Política de Gestión Integrada escribiendo un correo electrónico a compliance@inbenta.com.

• Controles ISO 27002 e ISO 27017: A.5.1.1

Formación

Todos los empleados DEBEN aprobar una formación sobre seguridad que se imparte al ser contratados y, posteriormente, una vez al año. Todos los ingenieros reciben formación anual sobre codificación segura, buenas prácticas de seguridad y patrones de seguridad por diseño. El equipo de seguridad proporciona actualizaciones adicionales sobre concienciación en materia de seguridad por correo electrónico, entradas de blog y wiki interna, compartiendo y actualizando las mejores prácticas y ofreciendo presentaciones periódicas como eventos internos.

• Controles ISO 27002 e ISO 27017: A.7.2.2

Acuerdos de confidencialidad

Todos los empleados deben firmar acuerdos de confidencialidad y no divulgación.

El acuerdo contractual de Inbenta con los empleados incluye la aceptación de los siguientes acuerdos: acuerdo de propiedad intelectual; acuerdo de confidencialidad de la información; Código de conducta profesional sobre seguridad y privacidad de la información.

• Controles ISO 27002 e ISO 27017: A.7.1.2

Finalidad del tratamiento

Inbenta Holdings, Inc. presta servicios de comunicación y búsqueda de información en línea basados en el lenguaje natural. Esto significa que el usuario puede acceder a información de la base de conocimientos del cliente escribiendo y enviando texto, que es procesado por Inbenta para devolver la mejor respuesta.

Este texto procesado puede incluir información personal identificable (PII), lo que implica que Inbenta es el procesador de estos datos en nombre de nuestros clientes (los controladores).

Asimismo, Inbenta es el controlador de la información que recopilamos de nuestros clientes y sus empleados para gestionar los contratos y servicios prestados a nuestros clientes para contactar con ellos, responder a sus solicitudes de servicio y administrar sus cuentas.

• Controles ISO 27701: 7.2.1

Legalidad del tratamiento

El tratamiento de los datos del cliente es necesario para la ejecución de un contrato en el que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato.

• Controles ISO 27701: 7.2.2

Privacidad desde el diseño y privacidad por defecto

Inbenta limita la recogida y el tratamiento de la IIP al mínimo pertinente, proporcional y necesario para los fines identificados. Esto incluye limitar la cantidad de IIP que la organización recopila indirectamente (por ejemplo, a través de weblogs, registros del sistema, etc.).

Asimismo, Inbenta no conserva la IIP durante más tiempo del necesario para los fines para los que se procesa la IIP, tal y como se indica en los criterios de conservación.

• Controles ISO 27701: 7.4.1, 7.4.2

Criterios de retención

Inbenta conservará los datos personales que procesemos en nombre de nuestros Clientes durante el tiempo que sea necesario para prestar servicios a nuestro Cliente. Inbenta conservará esta información personal según sea necesario para cumplir con nuestras obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos.

A menos que se especifique un acuerdo diferente en el contrato entre Inbenta y el cliente, los registros en nuestro servidor se mantienen durante un máximo de 100 días y pueden ser eliminados cuando finalicen los servicios, si el cliente así lo especifica.

Transcurrido dicho plazo de conservación, Inbenta procede a la supresión definitiva de los datos contenidos en nuestras bases de datos, salvo en aquellos supuestos en los que de la ejecución de la prestación del servicio puedan derivarse obligaciones o deberes legales, en cuyo caso podrá conservarse una copia, con los datos debidamente bloqueados, hasta el cese de dichas responsabilidades o deberes.

• Controles ISO 27701: 7.4.7

Sistema de gestión de la información sobre privacidad

Inbenta ha implantado un sistema de gestión de la información sobre privacidad que garantiza el cumplimiento de las obligaciones legales, el tratamiento adecuado de los riesgos para los derechos y libertades de los usuarios y un proceso de revisión y mejora continua de las políticas aplicadas.

• Controles ISO 27701: 5.2.4

Responsabilidades

Inbenta ha nombrado a un responsable de protección de datos personales encargado de supervisar el funcionamiento del sistema de gestión de la información sobre privacidad. Sus responsabilidades incluyen la definición de políticas de protección de datos personales, la verificación del cumplimiento de estas políticas, la evaluación de riesgos en el tratamiento de datos personales, la determinación de las medidas técnicas y organizativas necesarias para mitigar los riesgos, la supervisión del rendimiento de las medidas implicadas y la evaluación del cumplimiento de la normativa.

Asimismo, todo el personal de Inbenta se ha comprometido a cumplir y hacer cumplir las políticas y normativas de privacidad de la empresa.

• Controles ISO 27701: 5.3.3, 6.3.1.1

Responsable de protección de datos

Inbenta ha nombrado a un Responsable de Protección de Datos (DPO) que se encarga de evaluar y supervisar un programa de gobernanza y privacidad para toda la organización, con el fin de garantizar el cumplimiento de todas las leyes y normativas aplicables relativas al tratamiento de la IIP.

El RPD garantizaría una gestión eficaz de los riesgos para la privacidad, participaría en la gestión de todas las cuestiones relacionadas con el tratamiento de la IIP, actuaría como punto de contacto para las autoridades de supervisión, informaría a los altos directivos y empleados de la organización de sus obligaciones con respecto al tratamiento de la IIP y proporcionaría asesoramiento con respecto a las evaluaciones de impacto sobre la privacidad realizadas por la organización.

• Controles ISO 27701: 6.3.1.1

Organización de las operaciones de información y seguridad

A nivel organizativo, nuestro Director de Seguridad de la Información (CISO) ostenta el máximo nivel de acceso a la información y ejecución de medidas de seguridad, seguido de nuestros Administradores de Sistemas, el Director de Operaciones y el Director de Tecnología.

Documentamos y registramos todos los controles obligatorios del SGSI y contamos con una Junta de Seguridad y Privacidad formada por nuestro CEO, COO, CTO, QPM, HR y CISO para supervisar y evaluar la seguridad de las operaciones y los incidentes.

• Controles ISO 27701: 5.3.3, 6.3.1.1

Compromiso del personal

Todo el personal de Inbenta firma un acuerdo contractual por el que se compromete a cumplir las políticas y obligaciones en materia de protección de datos personales.

Dicho acuerdo incluye la advertencia de que el incumplimiento de dichas obligaciones constituye una falta grave de indisciplina o desobediencia en el trabajo y, por tanto, será sancionable.

• Controles ISO 27701: 6.4.1.2

Competencia y sensibilización

Inbenta ha puesto en marcha un programa de formación en el que todos los empleados de Inbenta participan en sesiones de concienciación y formación sobre la protección de la privacidad.

En este sentido, todos los empleados gestionan la información de acuerdo con sus certificaciones educativas y formativas, funciones y responsabilidades, y han recibido formación sobre la clasificación de la información y el Reglamento de la UE 2016/679 (GDPR de la UE), además de haber firmado un acuerdo de propiedad intelectual, y una declaración de buenas prácticas para prevenir comportamientos no normativos y sus consecuencias a la hora de procesar y transferir información.

• Controles ISO 27701: 6.4.2.2

Seguridad del tratamiento

Inbenta aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El tratamiento de datos personales está protegido por las mismas medidas técnicas que se aplican a toda la información de la empresa, de conformidad con las certificaciones ISO 27001 e ISO 27017.

Al evaluar el nivel de seguridad adecuado, se han tenido en cuenta, en particular, los riesgos que presenta el tratamiento, especialmente los derivados de la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a los datos personales transmitidos, conservados o tratados de otro modo.

• Controles ISO 27701: 5.6.2, 5.6.3

Seguridad de las operaciones

Todos nuestros datos se almacenan en Amazon Web Services (AWS), que cumple las normas internacionales de seguridad y privacidad de la información. Nuestras regiones operativas en la nube se encuentran en Estados Unidos, Europa, Asia Pacífico y Sudamérica. Las certificaciones de AWS están disponibles aquí: https://aws.amazon.com/compliance/programs/ Para la información en reposo, las claves de cifrado son gestionadas por AWS-KMS y utiliza como mínimo un AES256. Para los datos en tránsito, todas las conexiones se cifran bajo el protocolo TLS > 1.2 con el fin de proporcionar seguridad y privacidad a las comunicaciones. Los protocolos, certificados y cifrados pueden consultarse aquí: https://developers.inbenta.io/api-resources/security/regions-and-endpoints

• Controles ISO 27701: 5.6.2, 5.6.3, 6.9

Seudonimización y cifrado de datos personales

Cada cliente de Inbenta tiene el control para seudonimizar los datos personales procedentes de los usuarios finales utilizando la función de Inbenta "ofuscador de registros", que seudonimiza los datos antes de almacenarlos. Cada cliente debe especificar primero qué tipo de datos quiere seudonimizar y activar la opción para hacerlo. Si el cliente activa esta opción, los datos personales de los usuarios entran en nuestro servidor ya seudonimizados. Si el cliente no activa esta opción, los datos personales de los usuarios se almacenan en nuestro servidor sin ningún tipo de anonimización de privacidad, ya que Inbenta no puede manipular estos datos.

• Controles ISO 27701: 5.6.2, 5.6.3

Procesadores

A través de las cláusulas para el tratamiento de nuestro Acuerdo de Tratamiento de Datos (APD), Inbenta asume su responsabilidad como encargado del tratamiento que trata los datos por cuenta de nuestros clientes que son necesarios para la prestación de los servicios contratados.

Por ello, Inbenta ofrece garantías para:

• La confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento.
• Restablecer rápidamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico.
• Verificar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas aplicadas para garantizar la seguridad del tratamiento.

Esta DPA se complementa con este documento de Seguridad que detalla las medidas técnicas y organizativas que se implementan para cumplir con las garantías proporcionadas.

• Controles ISO 27701: 7.2.6, 8.2.1

Comunicación y transferencia de datos

El tratamiento y uso de la información personal por parte de Inbenta se limita a atender las necesidades de nuestros clientes, por lo que Inbenta no cede datos a terceros no implicados, salvo a:

• Empresas que, como encargados del tratamiento, nos prestan servicios relacionados con la actividad ordinaria y administrativa de la empresa, como, entre otros, proveedores de servicios e infraestructuras informáticas, como Amazon Web Services (AWS).

Dado el caso, existen APD con todas estas empresas, que ofrecen garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas

• si así lo exige la ley, por ejemplo, para cumplir una citación judicial o un proceso legal similar,
• cuando creamos de buena fe que su divulgación es necesaria para proteger nuestros derechos, proteger su seguridad o la de otros, investigar fraudes o responder a solicitudes de organismos públicos,
• si Inbenta Holdings Inc. participa en una fusión, adquisición o venta de todos o parte de sus activos, se le notificará por correo electrónico y/o mediante un aviso destacado en nuestro sitio web cualquier cambio en la propiedad o usos de su información personal, así como cualquier opción que pueda tener en relación con su información personal,
• a cualquier otro tercero con su consentimiento previo para hacerlo

• Controles ISO 27701: 7.5, 8.5

Gestión de las violaciones de la seguridad

Gestionamos los incidentes de seguridad siguiendo el procedimiento del GDPR de la UE, que dicta que, en un plazo máximo de 72 horas, debemos informar a la Agencia y a todas las personas y partes afectadas sobre la naturaleza, el alcance y las consecuencias del incidente.

• Controles ISO 27701: 6.13.1.5

Política de privacidad de Inbenta

Esta política incluye información sobre los fines y la legitimidad de las actividades de tratamiento, las categorías de datos tratados, los criterios de conservación de los datos, las posibles comunicaciones o transferencias de datos y el procedimiento para que los interesados ejerzan sus derechos.

• Controles ISO 27701: 7.3.2, 7.3.3

Cumplimiento de leyes y reglamentos oficiales

Cada sucursal de Inbenta debe informar a la Agencia de Protección de Datos de cualquier incidente de violación de datos en un plazo de 72 horas. Inbenta cumple con el Reglamento General de Protección de Datos de la UE 2016/679 (GDPR), así como con la CCPA (EE. UU.) y la LGPD (Brasil).

• Controles ISO 27701: 6.15.1, 7.2.2

Transferencia internacional de datos

La prestación de nuestros servicios puede implicar el tratamiento de datos personales por empresas situadas en países no pertenecientes al Espacio Económico Europeo (transferencias internacionales de datos). No obstante, sólo se realizará con países que ofrezcan un nivel de protección adecuado o que hayan puesto a nuestra disposición Cláusulas Contractuales Tipo (CCC) de conformidad con la decisión de la Comisión Europea sobre Transferencias de datos de responsables del tratamiento en la UE a encargados del tratamiento establecidos fuera de la UE.

Específicamente, la información que recopilamos de usted podría ser procesada en los Estados Unidos, y al utilizar estos servicios usted reconoce y consiente el procesamiento de sus datos en los Estados Unidos.

Inbenta Technologies Inc., con sede en EE.UU., es responsable del tratamiento de los datos personales que recibe, de conformidad con el Marco de Privacidad de Datos UE-EE.UU. y Suiza-EE.UU., y la ampliación del Reino Unido al Marco de Privacidad de Datos UE-EE.UU. (DPF), y que posteriormente transfiere a un tercero que actúa como agente en su nombre. Cumplimos los principios del DPF para todas las transferencias ulteriores de datos personales desde la UE, Suiza y el Reino Unido, incluidas las disposiciones sobre responsabilidad en las transferencias ulteriores.

En lo que respecta a las obligaciones derivadas del DPF, Inbenta Technologies Inc. está sujeta a las facultades reglamentarias de aplicación de la Comisión Federal de Comercio de los Estados Unidos. En determinadas situaciones, Inbenta Technologies Inc. puede verse obligada a revelar datos personales en respuesta a solicitudes legales de las autoridades públicas, incluso para cumplir requisitos de seguridad nacional o de aplicación de la ley.

Además de participar en el DPF, también utilizamos como medidas secundarias las Cláusulas Contractuales Tipo de la UE publicadas por la Comisión Europea, así como el Acuerdo Internacional de Transferencia de Datos del Reino Unido. Cuando sea necesario, sobre la base de nuestras evaluaciones de impacto de la transferencia de datos, aplicaremos medidas técnicas y/u organizativas adicionales destinadas a proteger adecuadamente sus datos.

Nombre del subprocesador, ubicación geográfica del servidor y suscripción proporcionada:

• Controles ISO 27701: 7.5.2, 8.5.2