¡Workai gana el premio Nielsen Norman Group Intranet Design Annual 2023!

Descargar estudio de caso

Seguridad de Workai – ISO 27001, GDPR y Privacidad

En Workai, damos prioridad a la seguridad y la privacidad de nuestra diversa base de clientes en la industria. Nuestra plataforma y visión se centran en estos aspectos cruciales, garantizando una protección de alto nivel.
Nuestra infraestructura protege los datos de los clientes en cada etapa, y ofrecemos configuraciones y herramientas personalizables para que los clientes definan sus propios parámetros de seguridad.
Con el soporte listo para empresas de Workai, todos los clientes pueden confiar en una plataforma segura y confiable que satisfaga sus necesidades y preocupaciones.
Una copia del certificado se puede encontrar aquí.

DECLARACIÓN DE LA ALTA DIRECCIÓN

1.1 Uno de los objetivos de la organización es mejorar sistemáticamente la calidad de los servicios proporcionados y la seguridad de las soluciones informáticas diseñadas. Garantizar la seguridad de la información relacionada con los datos confiados por los clientes y el know-how es, entre otras cosas, un requisito previo para una implementación exitosa de esta estrategia. Esto se logra a través de lo siguiente:

1.1.1 identificar y analizar los riesgos de seguridad de la información, realizar revisiones y tomar medidas para reducirlos;
1.1.2 crear conciencia entre los empleados y sensibilizarlos sobre cuestiones de seguridad de la información;
1.1.3 garantizar la seguridad física de los activos de la empresa y los datos almacenados;
1.1.4 seguridad de los enlaces de Internet y los sistemas de tecnologías de la información;
1.1.5 regulaciones de seguridad de la información adecuadas en contratos con todas las partes interesadas;
1.1.6 asignar responsabilidad para garantizar la seguridad de la información;
1.1.7 un enfoque sistemático para la gestión de la seguridad de la información.

1.2 La Junta Directiva de la empresa declara su pleno compromiso de crear condiciones para el funcionamiento efectivo del Sistema de Gestión de Seguridad de la Información (ISMS) y su mejora. La Junta Directiva de la empresa se compromete a cumplir con los requisitos aplicables de seguridad de la información. Así, compromete a todos los empleados y colaboradores de la organización a aplicar y cumplir con los principios del ISMS.

CERTIFICACIÓN ISO 27001

ISO 27001 es un estándar ampliamente reconocido en todo el mundo para la gestión de la seguridad de la información. En 2022, Workai implementó un Sistema de Gestión de Seguridad de la Información (SGSI), y en 2023 obtuvo la certificación ISO 27001.
Como parte de nuestra certificación ISO 27001, Workai realiza evaluaciones periódicas de riesgos y desarrolla planes de tratamiento de riesgos correspondientes para mitigar cualquier riesgo identificado. Este enfoque proactivo nos permite mejorar continuamente nuestros controles de seguridad. El equipo de seguridad de Workai trabaja constantemente para mejorar la idoneidad, adecuación y eficacia de nuestro ISMS.

ESTRUCTURA Y SUPERVISIÓN EN LA ORGANIZACIÓN

Seguridad y Privacidad en Workai

Workai emplea a un Delegado del Sistema de Gestión de la Seguridad de la Información (SGSI) y a un Delegado de Protección de Datos Personales (DPO). Su tarea clave es evaluar e implementar medidas de control de seguridad en toda la organización.

Educación sobre Conciencia de Seguridad

Ofrecemos a nuestros empleados capacitación anual en conciencia de seguridad, junto con actualizaciones periódicas sobre los últimos riesgos de seguridad y las mejores prácticas para contrarrestarlos. Todos los desarrolladores en Workai reciben capacitación constante sobre seguridad para estar informados sobre las amenazas de seguridad prevalentes en el desarrollo y para garantizar la privacidad de los datos de nuestros clientes. Todos los empleados y contratistas de Workai están obligados a cumplir con las políticas de seguridad establecidas, que incluyen la confidencialidad, la privacidad de los datos y la notificación de incidentes.

Garantía de Confidencialidad

Las cláusulas de confidencialidad son una característica estándar en todos los acuerdos con clientes realizados por Workai. Además, todos los empleados y contratistas de Workai deben firmar acuerdos de confidencialidad para proteger los datos de los clientes. También tenemos términos de confidencialidad similares con todos los proveedores que manejan información personal o confidencial de los clientes, como parte de nuestro proceso de evaluación de proveedores.

Informe y Gestión de Incidentes

Todos los empleados, contratistas y principales proveedores de Workai están obligados a informar sobre cualquier incidente de seguridad. Workai tiene un plan sistemático para abordar cualquier incidente de seguridad o disponibilidad de manera rápida y efectiva. Este plan de respuesta a incidentes consta de tres etapas destinadas a prevenir, identificar, corregir y resolver incidentes de seguridad.
Nuestro plan de respuesta a incidentes también incluye un proceso de gestión de problemas que tiene como objetivo identificar las causas y resolver incidentes de seguridad que no hayan sido previamente identificados. Todo el Equipo de Seguridad está capacitado para actuar de manera efectiva de acuerdo con el plan de respuesta a incidentes establecido. Este plan se evalúa y actualiza regularmente para cumplir con los requisitos de la certificación ISO 27001.

Planificación de Contingencia y Redundancia del Sistema

Workai ha diseñado un sistema destinado a reducir las interrupciones del servicio debido a desastres naturales, fallas de hardware u otros incidentes o crisis inesperadas. Nuestro enfoque de Recuperación ante Desastres incluye el aprovechamiento de proveedores de servicios de vanguardia para ayudar en la entrega de nuestros servicios. Miles de empresas confían en estos proveedores para sus necesidades de datos y entrega de servicios. Nuestro programa de recuperación ante desastres enfatiza los desastres técnicos en la operación de la plataforma Workai. Incorpora planes para diversos escenarios, lo que nos permite recuperar datos durante situaciones de emergencia.

Hospedaje dentro de la Unión Europea

El hospedaje dentro de la Unión Europea garantiza que los datos de Workai se almacenen en una jurisdicción que cumple con los estrictos requisitos de privacidad de la UE y el Reglamento General de Protección de Datos (GDPR). Al asociarnos con Microsoft Azure, un proveedor de servicios en la nube de reputación, Workai puede aprovechar sus servidores con sede en la UE, que ofrecen medidas mejoradas de protección de datos. Las instalaciones de Microsoft Azure cumplen con los estándares ISO 27001, lo que garantiza que los datos de Workai permanezcan seguros y cumplan con las estrictas regulaciones de privacidad de la UE.

Hospedaje fuera de la Unión Europea

Si bien los servidores de Workai podrían estar alojados fuera de la Unión Europea, es crucial considerar las posibles implicaciones para la privacidad de los datos y el cumplimiento del GDPR. Si Workai eligiera un proveedor de alojamiento ubicado en un país no perteneciente a la UE, debería evaluar y establecer un marco legal para garantizar la protección adecuada de los datos personales. Esto podría implicar la implementación de garantías apropiadas, como cláusulas contractuales estándar u obtener el consentimiento explícito del usuario para las transferencias internacionales de datos. Sin embargo, es importante tener en cuenta que el hospedaje fuera de la UE puede plantear desafíos para cumplir con los requisitos específicos del GDPR y podría afectar potencialmente el nivel de protección de datos otorgado a los usuarios de Workai.

SEGURIDAD DEL PRODUCTO

Nuestro Ciclo de Vida de Desarrollo Seguro (SDLC) describe los procedimientos y herramientas que utilizamos en el desarrollo y operación de software para mejorar la seguridad. Estas técnicas y recursos están en línea con estándares reconocidos de la industria y marcos correspondientes.

Aseguramiento de la Calidad

Para lograr el máximo nivel de Aseguramiento de la Calidad (QA), realizamos numerosas pruebas automatizadas en nuestro código fundamental. Además, cada modificación de código propuesta por nuestros desarrolladores se somete a evaluación entre pares.

Entornos Aislados

Los sistemas de prueba y puesta en escena de Workai son lógicamente distintos de los sistemas de producción. Con fines de prueba, Workai genera datos de prueba exclusivos.

Pruebas de Seguridad

Workai colabora con equipos externos de pruebas de penetración para realizar pruebas independientes al menos una vez al año de forma regular. En el proceso de evaluación, Workai utiliza una puntuación establecida por el Sistema Común de Puntuación de Vulnerabilidades (CVSS) para determinar la gravedad de todas las vulnerabilidades detectadas.

PRIVACIDAD Y PROTECCIÓN DE DATOS

Originaria de la Unión Europea, Workai ha convertido la privacidad y la protección de datos en aspectos fundamentales de nuestro desarrollo de productos, ofertas de servicios y gobierno interno. Dado que la UE aplica algunas de las leyes de privacidad de datos más estrictas a nivel mundial, incorporamos nuestras experiencias en Europa en nuestra metodología para construir y desarrollar herramientas de comunicación para empleados.

Acuerdos de Procesamiento de Datos (DPA) en línea con GDPR

Workai proporciona a sus clientes Acuerdos de Procesamiento de Datos Personales (DPA) conformes con el Reglamento General de Protección de Datos (RGPD). Además, como parte del proceso de evaluación de proveedores, Workai firma acuerdos DPA con todos los subcontratistas que procesan datos personales.

Cumplimiento del Reglamento General de Protección de Datos (GDPR) de la UE

Workai cumple con los requisitos del Reglamento General de Protección de Datos de la Unión Europea (RGPD) al ofrecer una plataforma de comunicación segura que protege de manera equitativa los datos de los empleados y los clientes. El más alto prioritario de Workai es el derecho a la privacidad de sus clientes y empleados, así como la seguridad de sus datos personales.

UBICACIÓN DE DATOS

Nuestros servidores, todos ubicados dentro de Microsoft Azure en Europa, cuentan con las siguientes certificaciones: ISO 27001:2013, ISO 27017:2015, ISO 27018:2014, ISO 20000-1:2011, ISO 22301:2012, ISO 9001:2015 y CSA STAR.

El almacenamiento físico está cifrado y, además, las unidades marcadas para reemplazo se reutilizan de forma segura utilizando métodos compatibles con el estándar NIST 800-88.

Los servicios de Azure incorporan mecanismos de múltiples capas que garantizan el acceso restringido a los recursos del cliente, protegiendo a la Entidad Supervisada contra el acceso no autorizado de otros usuarios, incluidos posibles clientes «maliciosos» del servicio. Las características adicionales de seguridad incluyen mecanismos de notificación para cualquier intento de acceso al entorno entre clientes. Los recursos de los clientes están protegidos, y se implementan medidas para evitar una asignación excesiva de recursos. Una descripción detallada de los mecanismos empleados se puede encontrar aquí.

El aislamiento se aplica en varios niveles, que incluyen:

  • Aislamiento de clientes a nivel de suscripción y servicios de autorización.
  • Aislamiento de recursos a nivel de la capa computacional (máquinas virtuales, servicios).
  • Aislamiento a nivel de red y cuentas de almacenamiento de datos.
  • Aislamiento a nivel de red del mundo exterior (implícitamente, Internet).
¿Deseas obtener más información sobre nuestros protocolos de seguridad? ¡Hablemos!