Seguridad y privacidad

 

Introducción

En Inbenta, estamos comprometidos a salvaguardar sus datos y la información personal de sus usuarios. Nuestra tecnología, infraestructura y procesos se monitorean y mejoran continuamente, siendo la seguridad el enfoque principal. Estamos certificados por terceros especialistas en seguridad de la información y la nube.En Inbenta, estamos comprometidos a salvaguardar sus datos y la información personal de sus usuarios. Nuestra tecnología, infraestructura y procesos se monitorean y mejoran continuamente, siendo la seguridad el enfoque principal. Estamos certificados por terceros especialistas en seguridad de la información y la nube.

Inbenta cumple con el Reglamento General de Protección de Datos de la UE 2016/679 (GDPR), y nuestra sucursal de la oficina de EE. UU. Está certificada bajo el Acuerdo del Escudo de Privacidad EE. UU.-UE. Inbenta también cumple con la Ley de Privacidad del Consumidor de California, Cal. Civ. Código §§ 1798.100 et seq. (la “CCPA”).

Todos los datos procesados ​​en Inbenta están encriptados tanto en tránsito como en reposo.

 

 

 

Acuerdos de seguridad

Inbenta tiene una sociedad con Ackcent Cybersecurity, para realizar auditorías programadas de productos y códigos, auditorías de seguridad y pruebas de penetración, y para manejar todos los SOC / SIEM , Detección y prevención de intrusiones.

 

Seguridad en la nube y en la red

SEGURIDAD FÍSICA
Seguridad física Inbenta se ejecuta sobre AWS en varias regiones. La infraestructura y los sistemas de apoyo se alojan en las instalaciones de AWS; como resultado, los controles de seguridad física, la seguridad en el sitio y la supervisión de los centros de datos son responsabilidad de AWS. La seguridad y privacidad de las aplicaciones fuera del alcance de AWS y el modelo de responsabilidad compartida son manejados por Inbenta y están cubiertos por el cumplimiento de GDPR, ISO9001, ISO27001 e ISO27017. https://aws.amazon.com/compliance/data-center/controls/
https://aws.amazon.com/security/

  • Controles ISO 27002 e ISO 27017: A.11.1
SEGURIDAD DE LA RED
Equipo de seguridad dedicado y SIEM Nuestros monitores de seguridad y alarmas (sistemas activos / pasivos), así como nuestro socio externo de seguridad SIEM, están completamente integrados en nuestras operaciones, brindando seguridad 24 × 7 y equipos de seguridad listos para responder a alertas y eventos.

  • Controles ISO 27002 e ISO 27017: A.12.4.1, A.13.1.2, A.16.1.1, CLD.12.4.5
Protección Nuestra red está protegida y aislada por firewalls, NACL (lista de control de acceso a la red), transporte HTTPS seguro a través de redes públicas, monitorización DMZ, auditorías periódicas y tecnologías de detección y / o prevención de intrusiones en la red (IDS / IPS) que monitorean y / o bloquean el tráfico malicioso y los ataques a la red, protección activa DDoS y monitoreo de suplantación de DNS.

  • Controles ISO 27002 e ISO 27017: A.13.1.1, A.13.1.2, A.13.1.3
Arquitectura Nuestra arquitectura de seguridad de red consta de varias zonas. Los sistemas más sensibles, como bases de datos, caché y servidores NFS, están protegidos en nuestras zonas más privadas y completamente aisladas. Otros sistemas están alojados en zonas privadas intermedias como procesadores webhook en subredes privadas detrás de una NAT de solo salida. Dependiendo de la zona, se aplicarán controles de acceso y monitoreo de seguridad adicionales. Las DMZ se utilizan entre Internet o subredes públicas (solo Load Balancers) e internamente entre las diferentes zonas de confianza.

  • Controles ISO 27002 e ISO 27017: A.13.1.1, A.13.1.3
Firewalls Existen sistemas firewall para filtrar el tráfico de red entrante no autorizado de Internet y denegar cualquier tipo de conexión de red que no esté explícitamente autorizada. La funcionalidad de traducción de direcciones de red (NAT) se utiliza para administrar direcciones IP internas. El acceso administrativo al firewall está restringido a empleados autorizados.

  • Controles ISO 27002 e ISO 27017: A.13.1.1, A.13.1.3
Escaneo de vulnerabilidades de red El escaneo activo de seguridad de red se está ejecutando activamente en todas las subredes en todas las regiones para la identificación rápida de sistemas fuera de cumplimiento o potencialmente vulnerables. También se ejecutan escaneos pasivos programados para todas las subredes internas o privadas, así como para todas las DMZ o subredes públicas que enfrentan los puertos expuestos (http / https).

  • Controles ISO 27002 e ISO 27017: A.12.6.1, A.12.7.1
Pruebas de penetración de terceros Además de nuestro extenso programa interno de escaneo y pruebas, cada año Inbenta acuerda con socios externos (Ackcent Cybersecurity) para realizar una amplia prueba de penetración en las redes de producción públicas y privadas de Inbenta, así como realizar auditorías de productos en todos los productos en forma trimestral.

  • Controles ISO 27002 e ISO 27017: A.12.6.1, A.12.7.1, A.14.2.8
Gestión de eventos de incidentes de seguridad (SIEM) Nuestro sistema de gestión de eventos de incidentes de seguridad (SIEM) recopila registros extensos de dispositivos de red y sistemas host importantes. El SIEM envía alertas sobre desencadenantes que notifican al equipo de seguridad en función de los eventos correlacionados para una mayor investigación y respuesta.
Prevención y detección de intrusiones Los puntos de entrada y salida del flujo de datos de la aplicación se controlan con los sistemas de detección de intrusiones (IDS) o los sistemas de prevención de intrusiones (IPS). Esto está integrado con SIEM y operaciones 24/7.

  • Controles ISO 27002 e ISO 27017: A.12.4.1, A.13.1.1
Mitigación de DDoS Inbenta utiliza la supervisión del flujo de red en tiempo real para inspeccionar el tráfico entrante en todos los puntos de entrada HTTP, como las terminaciones https de CDN, los oyentes del balanceador de carga https y todas las terminaciones WebSockets seguras (wss://) para realizar la mitigación automatizada de la mayoría de las técnicas DDoS en la capa 7 (WAF) y protege contra todos los ataques de infraestructura conocidos (capa 3 y 4).

  • Controles ISO 27002 e ISO 27017: A.13.1.1
Acceso lógico Inbenta utiliza una arquitectura de seguridad basada en roles y requiere que los usuarios del sistema sean identificados y autenticados antes de utilizar cualquier recurso del sistema. Los recursos de producción y todas las acciones administrativas se registran y almacenan durante al menos 2 años con una suma de verificación inmutable para evitar que se modifiquen los registros de auditoría.
Todos los recursos de producción se gestionan en el sistema de inventario de activos y a cada activo se le asigna un propietario. Los propietarios son responsables de aprobar el acceso al recurso y de realizar revisiones periódicas del acceso por función. El acceso a cualquier red o subsistema de administración de Inbenta Production está restringido por una necesidad explícita de conocimiento controlada por los controles ISO27001 y 27017. Todo está controlado y monitoreado por nuestro Equipo de Operaciones con roles granulares y específicos por empleado. Los empleados que acceden a la administración de la red de producción de Inbenta deben utilizar múltiples factores de autenticación, y ambos factores tienen credenciales que caducan con TTL bajos, lo que los obliga a rotar continuamente.

  • Controles ISO 27002 e ISO 27017: A.9.1, A.9.2, A.9.4
SEGURIDAD DE LAS OPERACIONES
Gestión de cambios Todos los cambios en nuestros sistemas operativos se gestionan a través de nuestro procedimiento de gestión de cambios que garantiza que todos los cambios estén controlados, se evalúen el impacto y los riesgos, y que haya un proceso de aprobación formal antes de que entren en funcionamiento.

  • Controles ISO 27002 e ISO 27017: A.12.1.2

En caso de que el Cliente necesite informar un incidente de seguridad a Inbenta, el canal adecuado es el Centro de Soporte de Inbenta (https://support.inbenta.io) o directamente a [email protected]
En caso de que Inbenta tenga conocimiento de una incidencia o cambio importante en la plataforma de Inbenta que afecte a la seguridad de la información del Cliente, Inbenta informará al Cliente de dicha incidencia o cambio importante y su impacto sobre la información afectada.
Inbenta compartirá toda la información necesaria para que el Cliente alerte a sus usuarios y aplique mitigaciones si es posible.
Inbenta notificará al cliente a través de correo electrónico al equipo de Clientes asignado a Inbenta, o a los contactos especificados en este contrato (apartado Avisos) en su ausencia, en un plazo máximo de 48h desde que Inbenta tenga conocimiento de la incidencia o cambio importante.
Inbenta también publicará un informe de incidentes o cambios importantes en el Centro de soporte (https://support.inbenta.io) y mantendrá este informe actualizado con el estado más reciente hasta el cierre.
Gestión de la capacidad Nuestro procedimiento de Gestión de la Capacidad tiene como objetivo garantizar que las necesidades de capacidad de TI actuales y futuras estén cubiertas, monitorear y controlar el rendimiento de la infraestructura de TI, desarrollar planes de capacidad según los niveles de servicio acordados y administrar y optimizar la demanda de servicios de TI.
La capacidad del sistema se monitorea continuamente y, en caso de una alerta del sistema, los eventos se escalan a nuestros equipos las 24 horas del día, los 7 días de la semana, que brindan cobertura de operaciones, ingeniería de redes y seguridad.

  • Controles ISO 27002 e ISO 27017: A.12.1.3
Control contra malware El equipo ISMS lleva a cabo regularmente el control y la prevención de malware y se incluye en la capacitación en seguridad y el Código de conducta profesional.
El servicio SOC proporcionado por nuestro socio Ackcent comprende servicios proactivos para la prevención de incidentes de seguridad, que incluyen monitoreo continuo de amenazas de ciberseguridad, monitoreo continuo y alertas de vulnerabilidad para activos digitales críticos, monitoreo en tiempo real, detección y análisis de incidentes y respuesta remota a incidentes basados sobre la coordinación de recursos y la rápida aplicación de contramedidas de seguridad.

  • Controles ISO 27002 e ISO 27017: A.12.2.1
Respuesta ante incidentes de seguridad En caso de una alerta del sistema, los eventos se escalan a nuestros equipos las 24 horas del día, los 7 días de la semana, que brindan cobertura de operaciones, ingeniería de red y seguridad. Los empleados están capacitados en los procesos de respuesta a incidentes de seguridad controlados en ISO9001 y 27001.

  • Controles ISO 27002 e ISO 27017: A.16.1
Registro y monitoreo Nuestro sistema de gestión de incidentes de seguridad (SIEM) recopila registros extensos de dispositivos de red y sistemas host importantes. El SIEM envía alertas sobre desencadenantes que notifican al equipo de seguridad en función de los eventos correlacionados para una mayor investigación y respuesta.

  • ISO 27002 e ISO 27017: A.12.4.1 controles
Endurecimiento Inbenta utiliza el endurecimiento (hardening) como parte del ciclo de desarrollo/implementación. Todos los entornos/imágenes/contenedores de producción se construyen e implementan utilizando hardening a partir de imágenes estables, actualizadas y homologadas. Los nuevos VM/contenedores/imágenes se crean siempre a partir de imágenes base anteriores (contenedores, AMIs) dentro de un ciclo de vida monitorizado (hardening).

Cualquier cambio de producción en las imágenes se prueba previamente en entornos de desarrollo y preproducción.

Todas las imágenes/contenedores base se reconstruyen y actualizan de forma programada.

  • ISO 27002 e ISO 27017: controles CLD.9.5.2
La encriptación
Encriptación en tránsito Las comunicaciones entre usted y los servidores de Inbenta se cifran a través de las mejores prácticas de la industria HTTPS utilizando el protocolo Transport Layer Security (TLS 1.2 y TLS 1.3 para algunas terminaciones) a través de redes públicas con los conjuntos de cifrado no débiles más recientes. Además, no se permiten protocolos SSL. TLS también es compatible con el cifrado de correos electrónicos. Puede encontrar una especificación más detallada en la sección “Seguridad e integridad de la transmisión” de este documento.

  • Controles ISO 27002 e ISO 27017: A.13.2.3, A.14.1.2
Cifrado en reposo Todos los datos, discos, sistemas de archivos y almacenes de datos administrados por Inbenta se cifran mediante sistemas de administración de claves administrados por el proveedor (AWS KMS – AWS CMK) utilizando claves gestionadas y mantenidas por Inbenta y su programa de rotación. Todos los datos se cifran mediante el algoritmo AES-256 estándar de la industria y los cifrados de bloque más fuertes. Dentro del servicio AWS-KMS, Inbenta utiliza dos tipos de claves administradas: cifrado con claves proporcionadas por el cliente y cifrado con claves administradas por AWS KMS.

  • Controles ISO 27002 e ISO 27017: A.8.2.3, A.18.1.4
DISPONIBILIDAD Y CONTINUIDAD
Tiempo de actividad Inbenta mantiene el Status Portal, disponible para los usuarios registrados, que incluye detalles de disponibilidad del sistema, mantenimiento programado, historial de incidentes de servicio y seguridad relevante eventos.
El tiempo de actividad mínimo garantizado por mes / trimestre / año se puede encontrar en el SLA: https://www.inbenta.com/en/compliance/sla/

  • Controles ISO 27002 e ISO 27017: CLD.12.4.5, A.15.1. 2
Redundancia La redundancia está integrada en la infraestructura del sistema que respalda los servicios de producción para ayudar a garantizar que no haya un solo punto de fallo, incluidos firewalls, enrutadores y servidores. En caso de que falle un sistema primario, el hardware redundante se configura para ocupar su lugar.
Inbenta emplea agrupación de servicios y redundancias de red para eliminar puntos únicos de fallo.

  • ISO 27002 e ISO 27017: controles A.17.2
Copias de seguridad El personal de operaciones realiza una copia de seguridad de los datos de los clientes y los supervisa para su finalización y excepciones. En caso de una excepción, el equipo de operaciones realiza la solución de problemas para identificar la causa raíz y luego vuelve a ejecutar el trabajo de respaldo inmediatamente, si es posible, o como parte del siguiente trabajo de respaldo programado. La infraestructura de respaldo es administrada por el proveedor de la nube y no involucra medios físicos manejados por personal de Inbenta. La infraestructura de copia de seguridad reside en almacenes de datos de larga duración detrás de redes privadas protegidas lógicamente de otras redes y está encriptada con AES256 en reposo utilizando el sistema de gestión de claves del proveedor de la nube (AWS KMS) utilizando claves privadas gestionadas por Inbenta rotadas según lo programado.
Cada semana se realiza una verificación de integridad de la copia de seguridad aleatoria programada.
Las copias de seguridad se realizan, como mínimo, cada 24 horas para todos los datos de producción. Según el tipo de clasificación de datos del almacenamiento respaldado, se especifica una periodicidad diferente en 3 niveles: 1) Recuperación puntual para datos críticos, 2) Cada 12 h para datos de configuración y 3) Cada 24 h para menos cambios y registro datos.

  • Controles ISO 27002 e ISO 27017: A.12.3
Recuperación de desastres y plan de continuidad de negocio Nuestro Plan de Recuperación ante Desastres (DRP, Disaster Recovery Plan) y el Plan de Continuidad Comercial (BCP, Business Continuity Plan) garantizan que nuestros servicios permanezcan disponibles o sean fácilmente recuperables en caso de un desastre. Esto se logra mediante la creación de un entorno técnico sólido y la configuración de un RTO y RPO de bajo nivel, definidos en un análisis de impacto empresarial (BIA, Business Impact Analysis). En este se consideran varios escenarios que puedan interrumpir el servicio, ya sea por la falta de disponibilidad de los empleados o de los proveedores. Las simulaciones y test de Disaster Recovery se ejecutan y auditan anualmente, según lo exigen las normas ISO 27001 e ISO 27017.

  • ISO 27002 e ISO 27017: controles A.17.1
Network Time Protocol, sincronización de relojes y consistencia Tiempo de sincronización y NTP

Inbenta utiliza el protocolo y los servicios NTP para mantener todos los relojes sincronizados y consistentes en todos los servicios, módulos y sistemas operativos. Usamos servidores NTP públicos de ntp.org (por región) https://support.ntp.org/bin/view/Servers/NTPPoolServers para componentes con acceso a Internet y Amazon Time Sync Service (de AWS) para todas las redes privadas y todos los módulos sin acceso a Internet. Amazon Time Sync Service, un servicio de sincronización de tiempo entregado a través de Network Time Protocol (NTP) que utiliza una flota de relojes atómicos y conectados por satélite redundantes en cada región para ofrecer un reloj de referencia de alta precisión.

 

Seguridad de la aplicación

Desarrollo seguro (SDLC)
Seguridad capacitación Por lo menos dos veces al año, los ingenieros y desarrolladores han de participar en la formación código de seguridad y la seguridad en el diseño, el desarrollo de las mejores prácticas de ataque comunes, y los controles de seguridad Inbenta. Esta formación es proporcionada por programas de formación internos y paquetes externos de formación.

  • Controles ISO 27002 e ISO 27017: A.7.2.2
Controles de seguridad OWASP Inbenta utiliza todas las reglas de OWASP de máxima seguridad conocidas. Estos incluyen controles inherentes que reducen nuestra exposición a Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) y SQL Injection (SQLi), entre otros. Tanto en el análisis de código estático como en el análisis dinámico, así como en las reglas WAF (firewall de aplicaciones web) activas en tiempo real frente a cualquier oyente HTTP.

  • Controles ISO 27002 e ISO 27017: A.14.2.4
QA Nuestro departamento de QA revisa y prueba nuestro código base. Se realizan e integran varias pruebas manuales y automatizadas con las canalizaciones de CI / CD para implementar solo código probado y seguro. Nuestro equipo de control de calidad participa activamente en la seguridad de la aplicación final, así como en el desarrollo del proceso de la canalización/flujo de versión.

  • Controles ISO 27002 e ISO 27017: A.14.2.1, A.14.2.8
Entornos separados Los entornos de prueba, desarrollo y preparación para el desarrollo de productos están separados física y lógicamente del entorno de producción a través del aislamiento de red, firewalls y NACL. No se utilizan datos de producción reales en el entorno de desarrollo o prueba, se pueden generar datos simulados y aleatorios para simular grandes volúmenes de datos.

  • Controles ISO 27002 e ISO 27017: A.12.1.4, A.14.2.6, A.14.3.1
VULNERABILIDADES DE APLICACIÓN
Escaneo dinámico interno de vulnerabilidades Empleamos una serie de herramientas de seguridad de terceros calificadas para escanear continuamente y de forma dinámica nuestras aplicaciones contra las Reglas de OWASP. Además, todos los controladores HTTP tienen un WAF activo que bloquea todos los OWASP conocidos y las reglas principales conocidas en tiempo real.

  • Controles ISO 27002 e ISO 27017: A.12.6.1, A.14.2.5
Escaneo de vulnerabilidad dinámica externa Inbenta utiliza un socio de seguridad externo para el equipo SOC-SIEM externo.

El socio externo utiliza tecnologías de escaneo estándar de la industria y una metodología formal especificada por Inbenta (todas las reglas de OWASP y muchas más).
Estas tecnologías están personalizadas para probar la infraestructura y el software de la organización de manera eficiente y, al mismo tiempo, minimizar los riesgos potenciales asociados con el escaneo activo. Se realizan nuevas pruebas y escaneos bajo demanda según sea necesario. Los escaneos se realizan durante las ventanas que no son pico. Las herramientas que requieren instalación en el sistema Inbenta se implementan a través del proceso de Gestión de Cambios.

  • Controles ISO 27002 e ISO 27017: A.12.5.1, A.12.6.1, A.12.7.1
Análisis de código estático Los repositorios de código fuente para las aplicaciones Inbenta, tanto para nuestra WebGUI como para las API de productos, se escanean continuamente en las pruebas y revise las etapas en los Pipelines y Flow de CI / CD (integración continua), y se integran con todos los flujos de QA y liberación que bloquean cualquier liberación o implementación de código no conforme o subestándar. Además, nuestras herramientas de análisis estático integradas activan los análisis programados.

  • Controles ISO 27002 e ISO 27017: A.12.6.1, A.14.2.8
Pruebas de penetración de seguridad Además de nuestro extenso programa de pruebas y escaneo interno, cada trimestre Inbenta emplea socios expertos en seguridad externos (SOC-SIEM externo programado -pruebas y auditorías) para realizar pruebas de penetración detalladas y análisis de código dinámico en diferentes aplicaciones dentro de nuestra familia de productos.

  • Controles ISO 27002 e ISO 27017: A.12.6.1, A.14.2.8

 

Funciones de seguridad del producto

SEGURIDAD DE AUTENTICACIÓN
Opciones de autenticación Para todas las aplicaciones WebGUI, ofrecemos el inicio de sesión de la cuenta de Inbenta con 2FA o SSO (IdP) personalizado.
Para las API de productos y / o integraciones de clientes (JS SDK), ofrecemos un flujo de autenticación con claves de API, secret / tokens (y claves de dominio para JS SDK) basado en JWT (JSON Web Token) para autenticar y autorizar todas las llamadas y acciones de API con el backend.

  • Controles de ISO 27002 e ISO 27017: A.9.2.3, A.9.4.1, A.9.4.2, CLD.9.5.1
Inicio de sesión único (SSO) El inicio de sesión único (SSO) le permite autenticar usuarios en sus propios sistemas sin necesidad de que ingresen credenciales adicionales de inicio de sesión para las instancias y la WebGUI de usuario de Inbenta.

Se admite el lenguaje de marcado de aserción de seguridad (SAML).

Puede integrar su SSO con Inbenta, ya que funciona como SP (Proveedor de servicios) para SAMLv2.

  • Controles ISO 27002 e ISO 27017: A.9.4.2
Política de contraseñas Las contraseñas solo pueden ser restablecidas por el usuario final con una dirección de correo electrónico activa (el nombre de usuario es la misma dirección de correo electrónico). El usuario final puede generar una URL de restablecimiento de contraseña temporal en la página de inicio de sesión. Las políticas de contraseñas están aplicando los últimos requisitos mínimos más conocidos y las medidas de detección anti-bot adicionales están habilitadas en todas las pantallas de administración de usuarios / contraseñas. Los administradores también pueden configurar una política de rotación de contraseñas por usuario.

  • Controles de ISO 27002 e ISO 27017: A.9.4.3
Autenticación de dos factores (2FA) Si utiliza el inicio de sesión de Inbenta en su instancia de Inbenta Support, puede activar la autenticación de 2 factores (2FA) para agentes y administradores, incluidas aplicaciones como Authy y Google Authenticator para generar contraseñas OOTP.

2FA proporciona otra capa de seguridad a su cuenta de Inbenta, lo que dificulta que otra persona inicie sesión como usted. Si está utilizando su propio SSO IdP (Proveedor de identidad) para obligar a sus usuarios a usar 2FA, puede integrar su SSO con Inbenta, ya que funciona como SP (Proveedor de servicios) para SAMLv2.

  • Controles ISO 27002 e ISO 27017: A.9.2.3, A.9.4.2
Almacenamiento seguro de credenciales Inbenta sigue las mejores prácticas de almacenamiento seguro de credenciales al no almacenar nunca contraseñas en formato legible por humanos y solo después de un hash seguro y unidireccional sobre bases de datos del sistema de archivos o plataformas sin SQL con cifrado en reposo y todas las operaciones en tránsito al backend.

  • Controles ISO 27002 e ISO 27017: A.8.2.3, A.9.2.4, A.9.4.2, A.14.1.2
Seguridad y autenticación de API Las API de productos Inbenta son solo SSL, HTTPS full REST-API con los últimos conjuntos de cifrado en las escuchas HTTP que utilizan TLS. Debe tener una clave de API verificada y un secret / token y, para realizar cualquier solicitud de API de producto que necesite previamente, debe realizar una llamada obligatoria al flujo de solicitud de autenticación en la API de autorización, una capa adicional para todas las integraciones del lado del cliente (SDK de JavaScript) está también disponible para comprobar todos los dominios de origen de las integraciones del SDK.
La autenticación SAML SP (proveedor de servicios) también es compatible con la interfaz SSO de todos los accesos de inicio de sesión de WebGUI diferentes de las API (aplicación). Obtenga más información sobre la seguridad de API y las terminaciones de endpoints en https://developers.inbenta.io/

  • Controles ISO 27002 e ISO 27017: A.9.1.2, A.9.4.2, CLD.9.5.1, A.10.1.1
CARACTERÍSTICAS ADICIONALES DE SEGURIDAD DEL PRODUCTO
Privilegios y roles de acceso El acceso a los datos y productos dentro de Inbenta Workspace y CM / Chat se rige por derechos de acceso y se puede configurar para definir privilegios de acceso granulares. Inbenta tiene varios niveles de permisos para los usuarios (propietario, administrador, agente, usuario final, etc.) y una granularidad de roles por grupo. El acceso a los datos para la API / SDK se rige por claves, tokens y secrets de API, así como por muchos encabezados de identificación en ambos niveles para autenticación y autorización.

  • Controles ISO 27002 e ISO 27017: A.9.1.2, A.9.2.3, A.9.4.1
Alta disponibilidad y acceso del producto Se accede a algunos endpoints y URL de autorización a través de una CDN (red de entrega de contenido) para garantizar una latencia baja y una alta disponibilidad para impulsar la entrega de contenido según las ubicaciones geográficas del usuario final. Además, se puede configurar un enrutamiento de DNS regional o basado en latencia para las integraciones de SDK como se describe en: https://developers.inbenta.io/general/authorization/regions-and-endpoints

  • Controles ISO 27002 e ISO 27017: A.14.1. 2, A.14.1.3, A.17.2.1
Archivos adjuntos privados En Inbenta Messenger, de forma predeterminada, todas las instancias están protegidas, todos los activos y archivos adjuntos son privados y se requiere un inicio de sesión y un permiso / rol exitosos para ver los archivos adjuntos del ticket o mensajes. Además, todos los activos y archivos adjuntos se almacenan en un almacén de datos cifrados y se entregan a los agentes con una URL firmada temporal que deja de estar disponible después de varios minutos.

  • Controles ISO 27002 e ISO 27017: CLD.9.5.1, A.10.1.1, A.13.1.3
Transmission Security and integrity Todas las comunicaciones con los servidores de Inbenta (de ida y vuelta) se cifran utilizando HTTPS estándar de la industria en redes públicas. Esto garantiza que todo el tráfico entre usted e Inbenta sea seguro durante el tránsito. Puede encontrar una lista de protocolos SSL/TLS y conjuntos de cifrado en: Regiones y puntos finales: desarrolladores de Inbenta para todos los endpoints de la API. Además, para las funciones en tiempo real, como el chat en tiempo real, Inbenta utiliza el protocolo seguro WebSockets como una alternativa HTTP complementaria segura y orientada a la transmisión.
Todos los SDK están alojados en un almacén de datos AES256 seguro y encriptado y se sirven a través de una CDN con WAF (verificación y auditoría de cookies/encabezados) y todas las integraciones de SDK de Inbenta utilizan una integridad de subrecurso (sha384 SRI).

  • Controles ISO 27002 e ISO 27017: A.13.1.2, A.14.1.2, A.14.1.3
Firma de correo electrónico saliente de Messenger (DKIM) Inbenta Messenger Support ofrece DKIM (Domain Keys Identified Mail) para firmar correos electrónicos salientes de Inbenta Messenger cuando ha configurado un dominio de correo electrónico de respuesta saliente en su instancia de Inbenta Messenger y SMTP sobre SSL/TLS (puerto 465) y STARTTLS (puerto 587) para los protocolos de envío seguro.

  • Controles ISO 27002 e ISO 27017: A.13.2.3
Integridad de sub-recursos-SDK Una verificación de integridad de sub-recursos (SRI) es una característica de seguridad que permite a los navegadores verificar que los recursos que obtienen se entregan sin manipulación inesperada. Todos los SDK de Inbenta tienen esta función disponible.

  • Controles ISO 27002 e ISO 27017: A.14.1.2, A.14.1.3

 

Cumplimiento certificaciones y membresías

SEGURIDAD CUMPLIMIENTO
Auditores AENOR, el proveedor de auditores, forma parte de la red IQNet ASSOCIATION para tener una cobertura global de todas sus certificaciones (a nivel mundial ISO):
https://www.inbenta.com/en/compliance/certifications/
http://www.iqnet-certification.com/

  • Controles ISO 27002 e ISO 27017: A.18.2.1
ISO 9001 Inbenta tiene la certificación ISO 9001.
ISO 27001 Inbenta tiene la certificación 27001.
ISO 27017 Inbenta tiene la certificación 27017.
ISO 27701 Inbenta tiene la certificación 27701.
MEMBRESÍAS
Programa de certificación de privacidad

privacy policy

 Hemos recibido un sello de certificación que significa que nuestra declaración de privacidad y nuestras prácticas han sido revisadas para cumplir con los estándares de la industria que se pueden ver en su página de validación.

https://privacy.truste.com/privacy-seal/validation?rid=9b207c96-c411-409e-93d3-abf615471625

  • Controles ISO 27002 e ISO 27017: A.6.1.4, A.18.1.4, A.18.2.1
Escudo de privacidad de EE. UU. y la UE y programas de puerto seguro de EE. UU. y Suiza Inbenta ha certificado el cumplimiento del Escudo de privacidad de EE. UU. y la UE y los programas de Puerto seguro de EE. UU y Suiza establecidos por el Departamento de Comercio de los Estados Unidos.

  • Controles ISO 27002 e ISO 27017: A.18.1.4, A.18.2.1
Política de privacidad https://www.inbenta.com/en/compliance/privacy-policy/

  • ISO 27002 e ISO 27017: Controles A.18.1.4
CUMPLIMIENTO BASADO EN LA INDUSTRIA
Uso de Inbenta en un entorno PCI Inbenta no es compatible con PCI DSS. Agregar un componente de un proveedor que no es compatible con PCI DSS en la página de pago de la tarjeta de crédito haría que todo el proceso de pago no sea compatible con PCI DSS. La alternativa es alojar ese script en el centro de datos de los clientes y proteger el script usando Subresource Integrity.

  • Controles ISO 27002 e ISO 27017: A.18.2.2

 

Relaciones con proveedores

POLÍTICAS
Política de seguridad de la información para las relaciones con proveedores Con respecto a nuestros proveedores de servicios e infraestructura, mantenemos una política de evaluación dinámica de riesgos mediante la clasificación de nuestro riesgo de comportamiento de incumplimiento de acuerdo con nuestra verificación del cumplimiento de nuestros proveedores con los estándares internacionales de seguridad y privacidad mediante la verificación de las certificaciones de sus estándares. En caso de no proporcionar una certificación válida, les solicitamos una descripción detallada de los registros y controles obligatorios del SGSI, evaluando el riesgo como superior a aquellos proveedores que están certificados. Nuestra política es mantener el menor número posible de proveedores no certificados.

  • Controles de ISO 27002 e ISO 27017: A.15.1.1

Los contratistas deben cumplir los siguientes requisitos en el manejo, gestión, almacenamiento y procesamiento de información perteneciente a Inbenta Holdings Inc:

  • El acceso a los activos y sistemas de información será el mínimo necesario para lograr propósitos de negocios.
  • Cuando finaliza la necesidad de acceder a la información, los activos y los sistemas de Inbenta Holdings Inc., toda la información de Inbenta Holdings Inc. debe devolverse a Inbenta Holdings Inc. cuando finaliza un contrato.
  • Inbenta Holdings Inc. puede monitorear el uso de su información, activos de información y sistemas de información para propósitos comerciales legales.
  • Cualquier persona que tenga acceso a la información, los activos de información y los sistemas de Inbenta Holdings Inc. debe cumplir con los requisitos del SGSI de Inbenta Holdings Inc. El incumplimiento de estas políticas y otras instrucciones relevantes puede constituir un incumplimiento del contrato y dar lugar a la rescisión o acción legal.
  • El personal del proveedor solo ingresará a las instalaciones de Inbenta Holdings Inc. con un pase de seguridad apropiado emitido por Inbenta Holdings Inc. y acompañado por nuestro personal. Si es necesario, deben firmar un Acuerdo de confidencialidad.
  • La transmisión de información entre Inbenta Holdings Inc. y un proveedor debe estar encriptada a un nivel acorde con la clasificación de seguridad de la información y los estándares internacionales.
    Los datos y la información de Inbenta Holdings Inc. no se pueden utilizar para fines de prueba a menos que estén autorizados por nuestro COO, CTO y CISO. En caso de ser autorizado, los datos y la información que se utilizarán con fines de prueba deben ser anonimizados, codificados o renderizados de tal manera que ningún dato o información de Inbenta Holdings Inc. pueda reconstruirse a partir de los utilizados para fines de prueba.
  • La información de Inbenta Holdings Inc. no puede ser copiada por ningún proveedor excepto en la medida en que sea necesario para brindar un servicio acordado a Inbenta Holdings Inc.
  • Los proveedores deben tener un proceso de notificación de incidentes de seguridad implementado con un estándar y diseño aceptable para Inbenta Holdings Inc. para garantizar que cualquier incidente que involucre información de Inbenta Holdings Inc. se informe inmediatamente a Inbenta Holdings Inc. Los proveedores deben aceptar emprender cualquier acción correctiva requerida por Inbenta Holdings Inc. y asegurarse de que esto se implemente de manera auditable.
  • Un proveedor que posea datos de Inbenta Holdings Inc. en nombre de Inbenta Holdings Inc. debe contar con procesos que garanticen que la información crítica de Inbenta Holdings Inc. en poder de ellos pueda recuperarse de manera rápida y eficiente después de una emergencia.
  • En el caso de que un proveedor subcontrate a un tercero (ya sea en forma de servicios o colaboración con personas), este proveedor está obligado a hacer lo siguiente:
    • Aceptación por parte de Inbenta Holdings Inc. de este hecho
    • Informar y garantizar que el tercero subcontrató cumple con los aspectos relacionados con la política de seguridad de Inbenta Holdings Inc.
    • Asegúrese de que el tercero no subcontrate los servicios de otro.
Abordar la seguridad dentro de los acuerdos con proveedores Los procedimientos para evaluar el nivel de seguridad de nuestros proveedores se basan en una evaluación de riesgos dinámica mediante la clasificación de nuestro riesgo de comportamiento de incumplimiento de acuerdo con nuestra verificación del cumplimiento de nuestros proveedore con los estándares internacionales de seguridad y privacidad mediante la verificación de las certificaciones de sus estándares. En caso de no proporcionar una certificación válida, les solicitamos una descripción detallada de los registros y controles obligatorios del SGSI, evaluando el riesgo como mayor que aquellos proveedores que están certificados.

  • Controles ISO 27002 e ISO 27017: A.15.1.2
Acuerdos de confidencialidad y no divulgación Todos nuestros proveedores deben firmar compromisos de confidencialidad y acuerdos de no divulgación (NDA) para proteger el secreto de la información de Inbenta y de nuestros clientes.

  • Controles ISO 27002 e ISO 27017: A.13.2.4
GESTIÓN DE LA ENTREGA DE SERVICIOS PROVEEDOR
Seguimiento y revisión de los servicios de los proveedores Inbenta ha implementado un proceso de evaluación de proveedores que implica la revisión periódica del cumplimiento de las garantías de nivel de servicio (SLA) acordadas y el cumplimiento de los requisitos de los servicios establecidos.

  • Controles ISO 27002 e ISO 27017: CLD.12.4.5
Cadena de suministro de tecnologías de la información y las comunicaciones La política de Inbenta es garantizar la continuidad de nuestros servicios mediante la diversificación y redundancia de proveedores. Asimismo, requerimos garantías de nuestros proveedores en cuanto a la disponibilidad de sus servicios así como políticas de redundancia. Los proveedores de servicios en la nube deben garantizar que se mantengan o superen los niveles de seguridad de la información con respecto a los que acordamos con nuestros clientes.

  • Controles ISO 27002 e ISO 27017: A.15.1.3
Procesamiento de PII Inbenta tiene acuerdos de procesamiento de datos personales (DPA) con todos los proveedores que brindan servicios que involucran el procesamiento de datos personales de los cuales Inbenta o nuestros clientes son responsables.

  • Controles ISO 27002 e ISO 27017: A.18.1.4
Terminación del servicio Inbenta requiere a sus proveedores, y especialmente a aquellos que brindan servicios en la nube, eliminar cualquier información que traten una vez que se acuerde la terminación del servicio. Esta política se aplica a toda la información que se procesa en virtud del servicio prestado, ya sea propiedad de Inbenta o de nuestros clientes.

Los principales proveedores de Inbenta cumplen con la norma ISO-27017, por lo que están certificados en la eliminación de activos de clientes de servicios en la nube

  • Controles ISO 27002 e ISO 27017: A.11.2.7, CLD.8.1.5
Segregación de entornos Inbenta exige a sus proveedores, y especialmente a los que prestan servicios en la nube, que aseguren la segregación de los entornos virtuales de tratamiento de la información. Los proveedores de servicios en la nube deben hacer cumplir la segregación lógica adecuada de los datos de los clientes del servicio en la nube, las aplicaciones virtualizadas, los sistemas operativos, el almacenamiento y la red para la separación de los recursos utilizados por los clientes del servicio en la nube en entornos de múltiples inquilinos.
Cuando el servicio en la nube implique una tenencia múltiple, el proveedor del servicio en la nube debe implementar controles de seguridad de la información para garantizar el aislamiento adecuado de los recursos utilizados por diferentes arrendatarios.

  • ISO 27002 & ISO 27017 controles: CLD.9.5.1

 

Metodologías de seguridad adicionales

CONCIENCIA DE SEGURIDAD
Políticas Inbenta ha desarrollado un conjunto completo de políticas de seguridad que cubren la seguridad y privacidad de la información. Estas políticas se comparten y se ponen a disposición de todos los empleados, clientes y contratistas con acceso a los activos de información de Inbenta.

  • Controles ISO 27002 e ISO 27017: A.5.1.1
Formación Todos los empleados DEBEN aprobar una formación en seguridad que se imparte al contratarlos y anualmente a partir de ese momento. Todos los ingenieros reciben formación anual sobre codificación segura, mejores prácticas de seguridad y formación sobre en patrones de seguridad por diseño. El equipo de seguridad proporciona actualizaciones adicionales de concienciación sobre seguridad por correo electrónico, publicaciones de blog y wiki interno, compartiendo y actualizando las mejores prácticas, así como también brindando presentaciones periódicas como eventos internos.

  • Controles ISO 27002 e ISO 27017: A.7.2.2
POLÍTICAS EMPLEADOS / RR.HH.
Acuerdos de confidencialidad Todos los empleados están obligados a firmar acuerdos de no divulgación y confidencialidad.

El acuerdo contractual de Inbenta con los empleados incluye la aceptación de los siguientes acuerdos: acuerdo de propiedad intelectual; acuerdo de confidencialidad de la información; Código de Conducta Profesional en Seguridad y Privacidad de la Información.

  • Controles ISO 27002 e ISO 27017: A.7.1.2

 

Privacidad y protección de la información de identificación personal (PII)

PRINCIPIOS
Propósito del procesamiento Inbenta Holdings, Inc. proporciona servicios de comunicación en línea y búsqueda de información basados ​​en lenguaje natural. Esto significa que el usuario puede acceder a la información de la base de conocimientos del cliente escribiendo y enviando un texto, que es procesado por Inbenta para devolver la mejor respuesta.

Este texto procesado puede incluir información de identificación personal (PII) lo que implica que Inbenta es el procesador de estos datos en nombre de nuestros clientes (los controladores).

Además, Inbenta es el controlador de la información que recopilamos de nuestros clientes y sus empleados para administrar los contratos y servicios brindados a nuestros clientes para contactarlos, responder a sus solicitudes de servicio y administrar sus cuentas.

  • Controles ISO 27701: 7.2.1
Legalidad del procesamiento El procesamiento de los datos del cliente es necesario para la ejecución de un contrato en el que el interesado es parte o para dar respuesta al ejercicio de derechos de los interesados.

  • Controles ISO 27701: 7.2.2
Privacidad por diseño y privacidad por defecto Inbenta limita la recopilación y el procesamiento de PII al mínimo que es relevante, proporcional y necesario para los propósitos identificados. Esto incluye limitar la cantidad de PII que la organización recopila indirectamente (por ejemplo, a través de weblogs, registros del sistema, etc.).
Además, Inbenta no retiene la PII durante más tiempo del necesario para los fines para los que se procesa la PII, tal como se indica en los criterios de retención.

  • Controles ISO 27701: 7.4.1, 7.4.2
Criterios de retención Inbenta conservará los datos personales que procesamos en nombre de nuestros Clientes durante el tiempo que sea necesario para proporcionar servicios a nuestro Cliente. Inbenta retendrá esta información personal según sea necesario para cumplir con nuestras obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos.

Salvo que se especifique un acuerdo diferente en el contrato entre Inbenta y el cliente, los registros en nuestro servidor se conservan por un máximo de 100 días y se pueden eliminar cuando finalicen los servicios, si el cliente así lo especifica.

Transcurrido este plazo de conservación, Inbenta suprime definitivamente los datos contenidos en nuestras bases de datos, salvo en aquellas circunstancias en las que puedan derivarse obligaciones o deberes legales de la ejecución de la prestación del servicio, en cuyo caso podrá conservarse una copia, con los datos debidamente bloqueados, hasta el cese de dichas responsabilidades u obligaciones.

  • ISO 27701 controla: 7.4.7
ORGANIZACIÓN DE LA GESTIÓN DE LA PRIVACIDAD
Sistema de gestión de la información de la privacidad Inbenta ha implementado un sistema de gestión de la privacidad de la información que garantiza el cumplimiento de las obligaciones legales, el tratamiento adecuado de los riesgos para los derechos y libertades de los usuarios, y un proceso de revisión y mejora continua de las políticas aplicadas.

  • Controles ISO 27701: 5.2.4
Responsabilidades Inbenta ha designado un responsable de protección de datos personales a cargo de monitorear el desempeño del sistema de gestión de la privacidad de la información. Entre sus responsabilidades se encuentran definir las políticas de protección de datos personales, verificar el cumplimiento de estas políticas, evaluar los riesgos en el tratamiento de los datos personales, determinar las medidas técnicas y organizativas necesarias para mitigar los riesgos, supervisar el desempeño de las medidas involucradas y la evaluación del cumplimiento normativo.

Asimismo, todo el personal de Inbenta se ha comprometido a cumplir y hacer cumplir las políticas y normativas de privacidad de la empresa.

  • Controles ISO 27701: 5.3.3, 6.3.1.1
Responsable de protección de datos Inbenta ha designado un Responsable de protección de datos (DPO) que está a cargo de evaluar y supervisar un programa de privacidad y gobernanza en toda la organización, para garantizar el cumplimiento de todas las leyes y normativas aplicables con respecto al procesamiento de PII.

El DPO garantizaría una gestión eficaz de los riesgos de privacidad, participaría en la gestión de todos los asuntos relacionados con el procesamiento de la PII, actuaría como un punto de contacto para las autoridades supervisoras, informaría a la alta dirección y a los empleados de la organización de sus obligaciones con respeto al procesamiento de PII, y brindar asesoramiento con respecto a las evaluaciones de impacto de privacidad realizadas por la organización.

  • Controles ISO 27701: 6.3.1.1
Organización de operaciones de seguridad e información A nivel organizativo, nuestro Director de Seguridad de la Información (CISO) tiene el nivel máximo de acceso a la información y ejecución de medidas de seguridad, seguido por nuestros Administradores de Sistema, el Director de Operaciones y el Jefe de Tecnología.

Documentamos y registramos todos los controles obligatorios del SGSI y tenemos un Consejo de Seguridad y Privacidad formado por nuestro CEO, COO, CTO, QPM, HR y CISO para monitorear y evaluar la seguridad de las operaciones e incidentes.

  • Controles ISO 27701: 5.3.3, 6.3.1.1
Compromiso del personal Todo el personal de Inbenta firma un acuerdo contractual mediante el cual se compromete a cumplir con las políticas y obligaciones en materia de protección de datos personales.

Dicho contrato incluye la advertencia de que el incumplimiento de dichas obligaciones constituye una falta grave de indisciplina o desobediencia en el trabajo y, por tanto, será sancionable.

  • Controles ISO 27701: 6.4.1.2
Competencia y concienciación Inbenta ha implementado un programa de formación donde todos los empleados de Inbenta participan en sesiones de sensibilización y formación sobre protección de la privacidad.

En este sentido, todos los empleados gestionan la información de acuerdo con sus certificaciones educativas y formativas, roles y responsabilidades, y han recibido formación en la clasificación de la información y el Reglamento UE 2016/679 (RGPD UE), así como han firmado un acuerdo de propiedad intelectual. y una declaración de buenas prácticas para prevenir comportamientos no normativos y sus consecuencias al procesar y transferir información.

  • Controles ISO 27701: 6.4.2.2
RESPONSABILIDAD DEL RESPONSABLE Y DEL PROCESADOR
Seguridad del tratamiento Inbenta implementa las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo. El procesamiento de datos personales está protegido por las mismas medidas técnicas que se aplican a toda la información de la empresa de acuerdo con las certificaciones ISO 27001 e ISO 27017.

Al evaluar el nivel adecuado de seguridad, se han tenido en cuenta, en particular, los riesgos que presenta el procesamiento, en particular los derivados de la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados ​​de otro modo, de forma accidental o ilegal.

  • Controles ISO 27701: 5.6.2, 5.6.3
Seguridad de las operaciones Todos nuestros datos son almacenados por Amazon Web Services (AWS), que cumple con los estándares internacionales de seguridad y privacidad de la información. Nuestras zonas de disponibilidad están en Estados Unidos, Europa, Asia Pacífico y Sudamérica. Las certificaciones de AWS están disponibles aquí: https://aws.amazon.com/compliance/programs/. Para la información en reposo, AWS-KMS administra las claves de cifrado y utiliza al menos un AES256. Para los datos en tránsito, todas las conexiones están encriptadas bajo el protocolo TLS> 1.2 para brindar seguridad y privacidad a las comunicaciones. Los protocolos, certificados y cifrados se pueden encontrar aquí https://developers.inbenta.io/api-resources/security/regions-and-endpoints.

  • Controles ISO 27701: 5.6.2, 5.6.3, 6.9
Seudonimización y encriptación de datos personales Cada cliente de Inbenta tiene control para seudonimizar los datos personales provenientes de usuarios finales mediante el uso de la función de Inbenta “logs ofuscator”, que seudonimiza los datos antes de almacenarlos. Cada cliente debe primero especificar qué tipo de datos quiere seudonimizar y activar la opción para hacerlo. Si el cliente activa esta opción, los datos personales de los usuarios ingresan a nuestro servidor ya pseudoaleatorizados. Si el cliente no activa esta opción, los datos personales de los usuarios se almacenan en nuestro servidor sin ningún tipo de anonimización de la privacidad ya que Inbenta no puede manipular estos datos.

  • ISO 27701 controla: 5.6.2, 5.6.3
Encargados A través de las cláusulas para el tratamiento de nuestro Acuerdo de Procesamiento de Datos (DPA), Inbenta asume su responsabilidad como el procesador de datos que procesa los datos en nombre de nuestros clientes lo cual es necesario para proporcionar los servicios.

Por tanto, Inbenta da garantías para:

  • La confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento.
  • Restaurar la disponibilidad y el acceso a los datos personales rápidamente, en caso de incidente físico o técnico.
  • Verificar, evaluar y valorar, de forma periódica, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

Este DPA se complementa con este documento de Seguridad que detalla las medidas técnicas y organizativas que se implementan para cumplir con las garantías proporcionadas.

  • Controles ISO 27701: 7.2.6, 8.2.1
Comunicación y transferencia de datos El procesamiento y uso de información personal por parte de Inbenta se limita a atender las necesidades de nuestros clientes, por lo tanto Inbenta no transfiere datos a terceros, no involucrados, excepto para :

  • Empresas que, como procesadores de datos, nos brindan servicios relacionados con la actividad ordinaria y administrativa de la empresa, tales como, entre otros, proveedores de servicios e infraestructura de TI, como Amazon Web Services (AWS).

Dado el caso, existen DPA con todas estas empresas, brindando garantías suficientes para implementar las medidas técnicas y organizativas adecuadas

  • según lo requiera la ley, como para cumplir con una citación o proceso legal similar,
  • cuando creemos de buena fe que la divulgación es necesaria para proteger nuestros derechos, proteger su seguridad o la seguridad de los demás, investigar el fraude o responder a las solicitudes de un organismo público,
  • si Inbenta Holdings Inc. está involucrada en una fusión, adquisición o venta de la totalidad o una parte de sus activos, será notificado por correo electrónico y / o un aviso destacado en nuestro sitio web de cualquier cambio en la propiedad o usos de su información personal, así como de cualquier elección que pueda tener con respecto a su información personal,
  • a cualquier otro tercero con su consentimiento previo para hacerlo
  • ISO 27701 controla: 7.5, 8.5
Gestión de brechas de seguridad Gestionamos los incidentes de seguridad siguiendo el procedimiento del RGPD UE, que dicta que en un plazo máximo de 72 horas, debemos informar a la Agencia y a todas las personas y partes afectadas sobre la naturaleza, alcance y consecuencias del incidente.

  • Controles ISO 27701: 6.13.1.5
CUMPLIMIENTO
Política de privacidad Nuestra política de privacidad se encuentra publicada en nuestro sitio web (https://www.inbenta.com/en/compliance/privacy-policy/) y se modifica periódicamente de acuerdo con las leyes y regulaciones.

Esta política incluye información sobre las finalidades y legitimidad de los tratamientos, las categorías de datos tratados, los criterios de conservación de los datos, las posibles comunicaciones o cesiones de datos, y el procedimiento para que los interesados ​​puedan ejercer sus derechos.

  • Controles ISO 27701: 7.3.2, 7.3.3
Cumplimiento de leyes y regulaciones oficiales Cada oficina de Inbenta deberá comunicar a la Agencia de Protección de Datos cualquier incidente de filtración de datos en un plazo máximo de 72 horas. Inbenta cumple con el Reglamento General de Protección de Datos de la UE 2016/679 (GDPR), así como con CCPA (EE. UU.) y LGPD (Brasil).

  • Controles ISO 27701: 6.15.1, 7.2.2
Transferencia internacional de datos Cada sucursal de Inbenta es responsable del tratamiento de los datos personales que recibe como Encargado del Tratamiento, conforme a su normativa aplicable, según la ubicación de los clientes con los que tiene contrato. Por tanto, no existe ninguna transferencia internacional de datos personales de la que Inbenta sea el Encargado del Tratamiento y los clientes sean los Responsables del Tratamiento.
Inbenta Technologies Inc., nuestra subsidiaria ubicada en California, EE. UU., es responsable del procesamiento de los datos personales que recibe, bajo el marco del Escudo de privacidad, y luego los transfiere a un tercero que actúa como agente en su nombre. Cumplimos con los Principios del Escudo de privacidad para todas las transferencias posteriores de datos personales desde la UE, incluidas las disposiciones de responsabilidad de transferencia posterior.
Con respecto a las obligaciones derivadas del marco del Escudo de privacidad, Inbenta Technologies Inc. está sujeta a los poderes de cumplimiento normativo de la Comisión Federal de Comercio de EE. UU. y/o el Departamento de Transporte de EE. UU. En determinadas situaciones, se puede solicitar a Inbenta Technologies Inc. que divulgue datos personales en respuesta a solicitudes legales de las autoridades públicas, incluso para cumplir con los requisitos de seguridad nacional o de aplicación de la ley.
Antes de la decisión Schrems 2 (Asunto C-311/18), Inbenta se basó en el Marco EU-U.S. Privacy Shield como mecanismo de transferencia de datos para las transferencias de datos desde la Unión Europea y Suiza a los Estados Unidos. Ahora que el Escudo de Privacidad está invalidado por los Tribunales Europeos para las transferencias desde la Unión Europea y Suiza a los Estados Unidos, Inbenta se basa en las Cláusulas Contractuales Tipo (SCC) para dichas transferencias.
Inbenta se esfuerza al máximo para cumplir con los requisitos legales en materia de transferencias internacionales. Para cumplir con ellos, se ha aprobado internamente un Transfer Impact Assessment (TIA), que documenta todas las transferencias internacionales de datos de Inbenta a nuestros proveedores internacionales, y que es accesible bajo demanda.

Nombre del subprocesador, ubicación geográfica del servidor y suscripción proporcionada:

Nombre del Subencargado del Tratamiento Localización geográfica de los Servidores Servicio proporcionado
Amazon Web Services Inc. Dependiendo de la ubicación de los sujetos de los datos, el subprocesamiento de datos tiene lugar en la ubicación más cercana de AWS:

  • Unión Europea (Irlanda)
  • Estados Unidos (Virginia)
  • Brasil (São Paulo)
  • Australia (Sydney)
  • Japón (Tokio)
 Servicios IaaS y PaaS
Otros países fuera de la UE bajo garantías de transferencia internacional (https://aws.amazon.com/compliance/gdpr-center/) Alojamiento de la red de entrega del servidor que contiene réplicas de datos cifrados con control de acceso limitado para mejorar el rendimiento.

Gmail
(Google LLC)

 Zona de la Unión Europea (Irlanda) Recepción de email

TURBO SMTP
(Delivery Tech Corp.)

 Zona de la Unión Europea (Italia) Envío de email

SMTP
(j2 Global, Inc.)

 Canadá

(considerado apropiado por la Comisión Europea)

 Envío de email

 

Última revisión: 11 de marzo de 2022