WISE CX se reserva el derecho de actualizar su programa de seguridad de vez en cuando; siempre que, sin embargo, cualquier actualización no reduzca materialmente las protecciones generales establecidas en este documento.
- Programa y equipo de seguridad de la información: el programa de seguridad de WISE CX incluye políticas y estándares documentados de salvaguardas administrativas, técnicas, físicas y organizacionales, que rigen el manejo de los Datos de servicio de conformidad con la ley aplicable. El programa de seguridad está diseñado para proteger la confidencialidad e integridad de los Datos de servicio, de acuerdo con la naturaleza, el alcance, el contexto y los propósitos del procesamiento y los riesgos que implica el procesamiento para los interesados. WISE CX mantiene un equipo de seguridad distribuido globalmente disponible las 24 horas del día, los 7 días de la semana para responder a alertas y eventos de seguridad.
- Controles de acceso físico: WISE CX toma medidas razonables, como personal de seguridad y edificios protegidos, para evitar que personas no autorizadas obtengan acceso físico a los Datos del servicio y validar que los terceros que operan centros de datos en nuestro nombre se adhieran a dichos controles.
- Controles de acceso al sistema: WISE CX toma medidas razonables para evitar que los Datos de servicio se utilicen sin autorización. Estos controles varían según la naturaleza del procesamiento realizado y pueden incluir, entre otros controles, autenticación a través de contraseñas y/o autenticación de dos factores, procesos de autorización documentados, procesos de gestión de cambios documentados y/o registro de acceso en varios niveles.
- Controles de acceso a los datos: WISE CX toma medidas razonables para garantizar que los Datos de servicio sean accesibles y manejables únicamente por personal debidamente autorizado, se restringe el acceso directo a las consultas de la base de datos y se establecen y aplican los derechos de acceso a las aplicaciones para garantizar que las personas con derecho a utilizar un sistema de procesamiento de datos únicamente tener acceso a los Datos de Servicio a los que tiene privilegio de acceso; y que los Datos de servicio no se pueden leer, copiar, modificar o eliminar sin autorización en el curso del procesamiento.
- Controles de transmisión: WISE CX toma medidas razonables para garantizar la capacidad de verificar y establecer a qué entidades se prevé la transferencia de Datos de servicio por medio de instalaciones de transmisión de datos para que los Datos de servicio no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión electrónica o transporte. Los datos de servicio se cifran en tránsito a través de redes públicas cuando se comunican con las interfaces de usuario (UI) y la interfaz de programación de aplicaciones (API) de WISE CX a través del estándar de la industria HTTPS/TLS (TLS 1.2 o superior). Las excepciones al cifrado en tránsito pueden incluir cualquier Servicio que no sea de WISE CX que no admita el cifrado, al que el controlador de datos puede vincularse a través de los Servicios empresariales a su elección. Los datos de servicio están encriptados en reposo por el subprocesador de WISE CX y el proveedor de servicios administrados, Amazon Web Services Inc., a través de AES-256.
- Controles de entrada: WISE CX toma medidas razonables para brindar la capacidad de verificar y establecer si los Datos de servicio han sido ingresados en los sistemas de procesamiento de datos, modificados o eliminados, y por quién; y cualquier transferencia de Datos de servicio a un proveedor de servicios externo se realiza a través de una transmisión segura.
- Separación lógica: los datos de diferentes entornos de suscriptores de WISE CX se segregan lógicamente en los sistemas administrados por WISE CX para garantizar que los datos de servicio recopilados por diferentes controladores de datos estén separados entre sí.
- Sin puertas traseras: WISE CX no ha incorporado puertas traseras u otros métodos en sus Servicios para permitir que las autoridades gubernamentales eludan sus medidas de seguridad para obtener acceso a los Datos del servicio.
- Arquitectura y seguridad del centro de datos: WISE CX aloja los datos de servicio principalmente en centros de datos de AWS que cuentan con la certificación ISO 27001, proveedor de servicios PCI DSS de nivel 1 y/o compatible con SOC2. Los servicios de infraestructura de AWS incluyen energía de respaldo, sistemas HVAC y equipos de supresión de incendios para ayudar a proteger los servidores y, en última instancia, sus datos. La seguridad en el sitio de AWS incluye una serie de características, como guardias de seguridad, vallas, fuentes de seguridad, tecnología de detección de intrusos y otras medidas de seguridad. Puede encontrar más detalles sobre los controles de AWS en: https://aws.amazon.com/security
- Arquitectura y seguridad de la red: los sistemas de WISE CX se alojan en zonas acordes con su seguridad, según la función, la clasificación de la información y el riesgo. Nuestra arquitectura de seguridad de red consta de múltiples zonas con sistemas más sensibles, como servidores de bases de datos, en nuestras zonas de mayor confianza. Dependiendo de la zona, se aplicarán controles de acceso y monitoreo de seguridad adicionales. Las DMZ se utilizan entre Internet e internamente entre las diferentes zonas de confianza. Nuestra red está protegida mediante el uso de servicios de seguridad clave de AWS, auditorías regulares y tecnologías de inteligencia de red, que monitorean y/o bloquean el tráfico malicioso conocido y los ataques a la red. WISE CX utiliza el análisis de seguridad de la red para proporcionar una identificación rápida de los sistemas potencialmente vulnerables, además de nuestro extenso programa interno de análisis y pruebas. WISE CX también participa en varios programas de intercambio de inteligencia sobre amenazas para monitorear las amenazas publicadas en estas redes de inteligencia sobre amenazas y tomar medidas basadas en riesgo. WISE CX tiene un enfoque de varias capas para la mitigación de DDoS, utilizando defensas en el borde de la red, junto con herramientas de protección y escalado.
- Pruebas, monitoreo y registro: cada año, WISE CX emplea a expertos en seguridad externos para realizar una amplia prueba de penetración en las redes corporativas y de protección de WISE CX. WISE CX utiliza un sistema de gestión de eventos de incidentes de seguridad (SIEM), que recopila registros de dispositivos de red y sistemas host importantes. El SIEM alerta sobre activadores que notifican al equipo de seguridad en función de eventos correlacionados para investigación y respuesta. Los puntos de ingreso y egreso del servicio están instrumentados y monitoreados para detectar comportamientos anómalos, incluido el monitoreo del sistema las 24 horas del día, los 7 días de la semana.
- Disponibilidad y continuidad: WISE CX mantiene un estricto régimen de copias de seguridad y/o nuestra oferta de servicio de Recuperación ante desastres mejorada nos permite ofrecer un alto nivel de disponibilidad del servicio. Nuestro programa de recuperación ante desastres garantiza que nuestros servicios permanezcan disponibles y se puedan recuperar fácilmente en caso de desastre, mediante la creación de un entorno técnico sólido.
- Seguridad de las personas: WISE CX realiza verificaciones de antecedentes previas al empleo de todos los empleados, incluida la verificación de educación y empleo, de acuerdo con las leyes locales aplicables. Los empleados reciben capacitación en seguridad y protección de datos al ser contratados y anualmente a partir de entonces. Los empleados están obligados por acuerdos de confidencialidad por escrito a mantener la confidencialidad de los datos.
- Gestión de proveedores: WISE CX utiliza proveedores externos para proporcionar ciertos aspectos de los Servicios. WISE CX completa una evaluación de riesgos de seguridad de posibles proveedores.
