You are using an outdated browser. For a faster, safer browsing experience, upgrade for free today.

Políticas de Seguridad

Términos y condiciones de seguridad del servicio Craft de Cloud Code estos "Términos de seguridad Craft de Cloud Code" se incorporan mediante esta referencia al acuerdo de términos y condiciones del servicio Craft de Cloud Code y describen los requisitos contractuales para la seguridad de la información proporcionada por Cloud Code al suscriptor en relación con la provisión de Cloud Code. Servicios Craft para los que el suscriptor ha obtenido una licencia de Craft conforme a un acuerdo ejecutado por ambas partes que rige dicha provisión y uso de los servicios Craft de Cloud Code (el "Acuerdo"). Estos términos se aplican en la medida en que Cloud Code tenga acceso y control sobre los datos del Cliente.

Norma de Seguridad. Cloud Code mantendrá un programa de seguridad de la información siguiendo y aceptando todos los principios contenidos en el estándar ISO 27001, diseñado para proteger los datos del cliente, según corresponda a la naturaleza y alcance de los servicios Craft provistos por Cloud Code.

Toma de conciencia y formación en seguridad. Cloud Code mantendrá un programa de concientización y seguridad de la información que se entrega a todos los empleados y contratistas correspondientes en el momento de la contratación o el inicio del contrato y anualmente a partir de entonces. El programa de concientización se entrega electrónicamente e incluye un aspecto de prueba con requisitos mínimos para aprobar. Específicamente, con respecto al acceso a los datos del cliente, esto incluye cumplimiento anual, seguridad de la información y privacidad.

Políticas y procedimientos. Cloud Code mantendrá políticas y procedimientos apropiados para respaldar el programa de seguridad de la información. Las políticas y los procedimientos se revisarán anualmente y se actualizarán según sea necesario.

Gestión del cambio. Cloud Code utilizará un proceso de gestión de cambios basado en los estándares de la industria para garantizar que todos los cambios en el entorno de Craft se revisen, prueben y aprueben adecuadamente.

Almacenamiento y respaldo de datos. Cloud Code creará copias de seguridad de los datos críticos del cliente. Los datos del cliente se almacenarán y mantendrán únicamente en Amazon Web Services ("AWS"). Los datos de respaldo no se almacenarán en medios portátiles. Las copias de seguridad de los datos del cliente estarán protegidas contra el acceso no autorizado.

Antivirus y Antimalware. Las soluciones de protección antivirus y antimalware estándar de la industria se utilizan en sistemas comúnmente afectados por malware para proteger la infraestructura de la solución Craft contra software malicioso, como caballos de Troya, virus y gusanos. Las instancias de servidor AWS de Craft Cloud Services son Linux, que es un sistema que no suele verse afectado por el malware.

Gestión de vulnerabilidades y parches. Cloud Code mantendrá un programa de gestión de vulnerabilidades que garantice el cumplimiento de los estándares de la industria. Las instancias del servidor de Craft están parcheadas de acuerdo a la liberación de vulnerabilidades de seguridad en forma mensual. Cloud Code evaluará todas las vulnerabilidades críticas del entorno de producción del servicio Craft para la complejidad de acceso/vector, autenticación, impacto, integridad y disponibilidad. Si Cloud Code considera que el riesgo resultante es "crítico" para los datos del cliente, Cloud Code se esforzará por parchear o mitigar los sistemas afectados en un plazo de 3 días hábiles.

Eliminación y destrucción de datos. Cloud Code seguirá, y se asegurará de seguir los estándares de la industria para eliminar datos obsoletos. Toda eliminación dentro de la solución Craft es una eliminación simple. La eliminación segura de datos no es aplicable en un entorno de disco virtual.

Pruebas de penetración. Cloud Code realizará una evaluación de vulnerabilidades cada 30 días de forma interna, en relación a las nuevas funcionalidades incluidas en el roadmap del producto y de cara al usuario final. Cloud Code llevará a cabo una evaluación de vulnerabilidades y pruebas de penetración de código al menos una vez al año con un proveedor calificado e independiente. Los problemas identificados durante las pruebas se abordarán adecuadamente dentro de un marco de tiempo razonable acorde con el nivel de riesgo identificado del problema. Los resultados de las pruebas se pondrán a disposición del cliente previa solicitud por escrito y estarán sujetos a acuerdos de no divulgación y confidencialidad.

Separación de datos. Cloud Code emplea separación física de datos de manera que los datos de cada instancia correspondiente a cada cliente suscriptor se encontrarán completamente separados.

Servicios de cortafuegos. Cloud Code utiliza grupos de seguridad de AWS para proteger la infraestructura del servicio Craft. Cloud Code mantiene reglas granulares de entrada y salida, y los cambios deben aprobarse a través del sistema de gestión de cambios de Cloud Code. Los conjuntos de reglas se revisan semestralmente.

Conexiones de datos entre el cliente y el entorno de servicios Craft. Todas las conexiones a navegadores, aplicaciones móviles y otros componentes están protegidas a través del protocolo de transferencia de hipertexto seguro (HTTPS) y la seguridad de la capa de transporte (TLS v1.2) a través de Internet pública.

Control de acceso. Cloud Code implementará los controles de acceso adecuados para garantizar que solo los usuarios autorizados tengan acceso a los datos del cliente dentro del entorno del servicio Craft.

Acceso de Usuario del Cliente. El control de acceso es administrado por Cloud Code de manera granular entregando el acceso mediante credenciales de usuario y password las cuales deben ser modificadas por cada uno de los usuarios. El acceso se restringe por “Grupos de Acceso” y “Roles” , ambas características permiten la administración granular tanto del acceso a determinados formularios como también a determinados campos dentro de un formulario.

Acceso de usuario Cloud Code. Cloud Code creará cuentas de usuario individuales para cada uno de los empleados de Cloud Code que tengan una necesidad empresarial de acceder a los datos del cliente o a los sistemas del cliente dentro del entorno de Craft. Se seguirán las siguientes pautas con respecto a la administración de la cuenta de usuario de Cloud Code:

Las cuentas de usuario son solicitadas y autorizadas por la gerencia de Cloud Code.

Los tiempos de session se aplican sistemáticamente.

Las cuentas de usuario se deshabilitan de inmediato tras el término del vínculo laboral del empleado o en caso de transferencia de funciones, lo que elimina una necesidad laboral de acceso.

Para cada instancia se creará una cuenta de acceso para el equipo de soporte Cloud Code.

Protección contra interrupciones. Los servicios Craft se implementan y configurarán en un diseño de alta disponibilidad y se despliegan en una zona de disponibilidad de AWS ("AZ") para proporcionar una disponibilidad óptima de los servicios.

Continuidad del negocio. Cloud Code mantendrá un plan de continuidad de negocio diseñado para garantizar que los servicios de soporte y monitoreo continuos continúen en caso de un evento de interrupción que involucre el entorno Cloud Code.

Recuperación de desastres. La plataforma AWS de los servicios Craft aprovecha la naturaleza distribuida de la infraestructura de AWS para permitir la recuperación completa ante desastres en varios sitios al poder operar en múltiples AZ; ubicaciones distintas que están diseñadas para estar aisladas unas de otras. Las pilas de aplicaciones independientes se ejecutan en múltiples AZ. En caso de pérdida de un solo AZ o centro de datos, los servicios Craft restantes serán habilitados y están diseñados para escalar automáticamente para reemplazar la capacidad del sistema perdido, asegurando efectivamente un objetivo de tiempo de recuperación lo más rápido posible.

Programa de Respuesta a Incidentes de Seguridad. Cloud Code mantendrá un programa de respuesta a incidentes de seguridad basado en estándares de la industria diseñado para identificar y responder a incidentes de seguridad supuestos y reales que involucren datos de clientes. El programa se revisará, probará y, si es necesario, se actualizará al menos una vez al año. "Incidente de seguridad" significa un evento confirmado que resulta en el uso, eliminación, modificación, divulgación o acceso no autorizados a los datos del cliente.

Notificación. En el caso de un Incidente de seguridad u otro evento de seguridad que requiera notificación, Cloud Code notificará al Cliente dentro de las veinticuatro (24) horas y cooperará razonablemente para que el Cliente pueda realizar las notificaciones necesarias relacionadas con dicho evento.

Detalles de la notificación. Cloud Code proporcionará los siguientes detalles con respecto a cualquier Incidente de seguridad al Cliente: (i) fecha en que se identificó y confirmó el Incidente de seguridad; (ii) la naturaleza y el impacto del Incidente de Seguridad; (iii) acciones que Cloud Code ya ha tomado; (iv) medidas correctivas a tomar; y (v) evaluación de alternativas y próximos pasos.

Comunicaciones en curso. Cloud Code continuará brindando informes de estado apropiados al Cliente con respecto a la resolución del Incidente de seguridad y trabajará continuamente de buena fe para corregir el Incidente de seguridad y prevenir futuros Incidentes de seguridad. Cloud Code cooperará, según lo solicite razonablemente el Cliente, para seguir investigando y resolver el Incidente de seguridad.

Protecciones del centro de datos. Cloud Code contrata AWS para plataforma como servicio (PaaS). Las certificaciones de seguridad y cumplimiento y/o cualquier otro informes de servicios AWS deben obtenerse directamente de AWS.

Servicio Craft. Restricciones de uso. El Cliente no usará los Servicios Craft para ninguno de los siguientes motivos: (i) violar la ley aplicable; (ii) para transmitir código malicioso; (iii) para interferir, sobrecargar injustificadamente o interrumpir la integridad o el rendimiento de los Servicios Craft o los datos de terceros contenidos en los mismos; (iv) para intentar obtener acceso no autorizado a sistemas o redes; o (v) para proporcionar los Servicios Craft a terceros que no sean Usuarios, incluso mediante reventa, licencia, préstamo o arrendamiento.

Restricciones de prueba del cliente. El Cliente no realizará ningún tipo de prueba de penetración, evaluación de vulnerabilidad o ataque de denegación de servicio en los entornos de producción, prueba o desarrollo de Craft.

Uso Prohibido. El Cliente hará todos los esfuerzos comercialmente razonables para prevenir y/o bloquear cualquier uso prohibido por parte de los Usuarios.

Garantías del cliente. El Cliente mantendrá un nivel de seguridad administrativo, físico y técnico razonable y apropiado con respecto a sus Cuentas de Usuario, contraseña, protecciones antivirus y de firewall, y conectividad con los Servicios Craft.

Características de seguridad. Si los Servicios Craft se utilizarán para transmitir o procesar Datos personales, el Cliente se asegurará de que todos los Datos personales se capturen y utilicen únicamente mediante el uso de funciones de seguridad que Cloud Code pone a su disposición.

Propiedad y Licencia. Entre Cloud Code y el Cliente, el Cliente conserva la propiedad y todos los derechos de propiedad intelectual sobre los Datos del Cliente y otorga a Cloud Code una licencia no exclusiva, no sublicenciable , intransferible y libre de regalías para acceder, procesar, almacenar, transmitir y hacer uso de los Datos del cliente según sea necesario para proporcionar los Servicios Craft y para cumplir con las obligaciones de Cloud Code en virtud del Acuerdo.

Ubicaciones de procesamiento. El Cliente acepta que los Datos del Cliente pueden transferirse o almacenarse fuera del país donde se encuentran el Cliente y sus clientes para brindar servicios de soporte y resolución de problemas en virtud del Acuerdo.

Consentimiento. El Cliente declara y garantiza que ha obtenido todos los consentimientos necesarios para que Cloud Code recopile, acceda, procese, almacene, transmita y utilice los Datos del Cliente de conformidad con el Acuerdo.

Calidad. El Cliente reconoce que Cloud Code no tiene control sobre el contenido o la calidad de los Datos del Cliente enviados a los Servicios Craft. El Cliente deberá cumplir con todos los requisitos aplicables de integridad, calidad, legalidad y todos los demás aspectos similares con respecto a los Datos del Cliente. Cloud Code renuncia expresamente a cualquier obligación de revisar o determinar la legalidad, precisión o integridad de los datos del cliente.

Mejoras en el servicio. Cloud Code puede agregar y usar datos e información relacionados con el desempeño, la operación y el uso de Craft por parte del Cliente para crear análisis estadísticos, realizar evaluaciones comparativas, realizar investigación y desarrollo y realizar otras actividades similares ("Mejoras del servicio"). Cloud Code no incorporará los datos del cliente en las mejoras del servicio de una forma que pueda identificar al cliente. Cloud Code utilizará técnicas estándar de la industria para anonimizar los datos del cliente antes de realizar mejoras en el servicio, a menos que el cliente dé su consentimiento. Los datos anonimizados y las mejoras de los servicios resultantes no se consideran datos del cliente. Los datos del cliente y los datos anónimos resultantes estarán, en todo momento, sujetos a los controles de seguridad establecidos en estos Términos de seguridad de servicios Craft de Cloud Code. Cloud Code conserva todos los derechos de propiedad intelectual sobre las mejoras del servicio y puede ponerlas a disposición del público.