Quest
Quest se toma en serio la seguridad de la información en su procesamiento y transferencia de datos personales. Esta descripción general de seguridad de la información se aplica a los controles corporativos de Quest para salvaguardar los datos personales que son procesados por Quest o sus empresas afiliadas o transferidos entre las empresas del grupo Quest.
Prácticas de seguridad
Las prácticas y los estándares de seguridad de la información corporativa de Quest están diseñados para salvaguardar el entorno corporativo de Quest y para abordar los objetivos comerciales en la seguridad de la información, la gestión de sistemas y activos, el desarrollo y la gobernanza.
Estas prácticas y estándares son aprobados por la dirección ejecutiva de Quest y se revisan y actualizan periódicamente cuando es necesario.
Quest mantendrá un programa apropiado de privacidad y seguridad de la información, incluidas políticas y procedimientos para restricciones de acceso físico y lógico, clasificación de datos, derechos de acceso, programas de acreditación, retención de registros, privacidad de datos, seguridad de la información y el tratamiento de datos personales y datos personales sensibles a lo largo de su ciclo de vida. Las políticas clave se revisarán al menos una vez al año.
Seguridad organizativa
Es responsabilidad de todos los empleados de Quest que participan en el procesamiento de los Datos personales del cliente cumplir con estas prácticas y estándares. La función de Seguridad de la Información ("SI") de Quest es responsable de las siguientes actividades:
- Estrategia de seguridad: la función de SI trabaja para garantizar el cumplimiento de sus propias políticas y estándares relacionados con la seguridad y todas las regulaciones relevantes, y para crear conciencia y brindar educación a los usuarios. La función de SI también lleva a cabo evaluaciones de riesgos y actividades de gestión de riesgos, y gestiona los requisitos de seguridad de los contratos.
- Ingeniería de seguridad: la función de SI gestiona las pruebas, el diseño y la implementación de soluciones de seguridad para permitir la adopción de controles de seguridad en el entorno de tecnología de la información y en línea de Quest.
- Operaciones de seguridad: la función de SI gestiona el soporte de las soluciones de seguridad implementadas, monitorea y analiza el entorno y los activos de tecnología de la información y en línea de Quest, y gestiona la respuesta a incidentes.
- Investigaciones forenses: la función de SI trabaja con Legal y Cumplimiento, y Recursos Humanos para llevar a cabo investigaciones, incluyendo descubrimiento y análisis forense.
- Consultoría y pruebas de seguridad: la función de SI trabaja con los desarrolladores de software en el desarrollo de las mejores prácticas de seguridad, consulta sobre el desarrollo de aplicaciones y la arquitectura para proyectos de software y realiza pruebas de control.
Clasificación y control de activos
La práctica de Quest es rastrear y administrar información clave y activos físicos, de software y lógicos. Ejemplos de los activos que Quest podría rastrear incluyen:
- activos de información, como bases de datos identificadas, planes de recuperación ante desastres, planes de continuidad del negocio, clasificación de datos, información archivada;
- activos de software, como aplicaciones identificadas y software de sistema;
- activos físicos, como servidores identificados, computadoras de escritorio/portátiles, cintas de respaldo/archivo, impresoras y equipos de comunicaciones.
Los activos se clasifican según la importancia para los negocios para determinar los requisitos de confidencialidad. Las directrices de la industria para el manejo de datos personales proporcionan el marco para las salvaguardas técnicas, organizacionales y físicas. Estas salvaguardas pueden incluir controles tales como administración de acceso, encriptación, registro y monitoreo y destrucción de datos.
Evaluación, capacitación y seguridad de los empleados
- Evaluación/verificación de antecedentes: cuando sea razonablemente factible y apropiado, como parte del proceso de empleo/contratación, One Identity realiza una evaluación de empleados y verificaciones de antecedentes de los empleados o potenciales empleados (que variarán de un país a otro según las leyes y regulaciones locales), donde dichos empleados tendrán acceso a las redes, sistemas o instalaciones de One Identity.
- Identificación: One Identity exige que todos los empleados proporcionen prueba de identificación y cualquier documentación adicional que pueda ser requerida según el país de contratación o si lo requieren otras entidades o clientes de One Identity a los que el empleado brinda servicios.
- Capacitación: el programa anual de capacitación sobre cumplimiento de Quest incluye un requisito para que los empleados completen una concientización en línea sobre protección de datos y seguridad de la información.
- Confidencialidad: Quest garantiza que sus empleados están legalmente obligados a proteger y mantener la confidencialidad de los datos que manejan de conformidad con los acuerdos estándar.
Controles de acceso físico y seguridad ambiental
- Programa de seguridad física: Quest utiliza una serie de enfoques tecnológicos y operativos en su programa de seguridad física para mitigar los riesgos de seguridad en la medida de lo posible. El equipo de seguridad de Quest trabaja en estrecha colaboración con cada sitio para determinar que existen medidas adecuadas para evitar que personas no autorizadas obtengan acceso a los sistemas dentro de los cuales se procesan los datos personales y monitorea continuamente cualquier cambio en la infraestructura física, el negocio y las amenazas conocidas. También monitorean las medidas de mejores prácticas utilizadas por otros en la industria y seleccionan cuidadosamente los enfoques que satisfacen tanto la singularidad en la práctica comercial como las expectativas de Quest. Quest equilibra su enfoque de seguridad considerando elementos de control que incluyen arquitectura, operaciones y sistemas.
- Controles de acceso físico: los controles de acceso
físico/medidas de seguridad en las instalaciones/centros de Quest
están diseñados para cumplir con los siguientes requisitos:
- El acceso a los edificios, las instalaciones y otros centros físicos de Quest está controlado y se basa en la necesidad comercial, la sensibilidad de los activos y el rol y la relación de cada persona con Quest. Solo el personal asociado con One Identity tiene acceso a las instalaciones y los recursos físicos de One Identity. El acceso solo se proporciona de manera consistente con el rol y las responsabilidades del personal en la organización;
- las instalaciones relevantes de Quest están protegidas por un sistema de control de acceso. El acceso a dichas instalaciones se otorga únicamente con una tarjeta activada;
- las personas que requieren acceso a instalaciones o recursos controlados por tarjeta reciben credenciales de acceso físico apropiadas y exclusivas (por ejemplo, una tarjeta de identificación o tarjeta asignada a una persona) por la función de SI. Las personas a las que se les otorgan credenciales de acceso físico únicas reciben instrucciones de no permitir o permitir que otras personas accedan a las instalaciones o los recursos de Quest utilizando sus credenciales exclusivas (por ejemplo, “preservar la distancia”). Se pueden emitir credenciales temporales (hasta 14 días) a personas que no tienen identidades activas cuando sea necesario (i) para acceder a una instalación específica y (ii) para necesidades comerciales válidas. Las credenciales únicas no son transferibles y si una persona no puede presentar sus credenciales a pedido, se le puede negar la entrada a las instalaciones de Quest o escoltarlo para que se retire de las instalaciones. En las entradas de personal, las personas deben presentar una identificación con foto válida o credenciales válidas al representante de seguridad al ingresar. Las personas que hayan perdido o extraviado sus credenciales u otra identificación deben ingresar por una entrada de personal y un representante de seguridad les otorgará una credencial temporal;
- Los visitantes que requieran acceso a las instalaciones de Quest deben ingresar a través de una entrada principal o de personal. Los visitantes deben registrar su fecha y hora de llegada, la hora de salida del edificio y el nombre de la persona que están visitando. Los visitantes deben presentar una forma de identificación vigente emitida por el gobierno para validar su identidad. Para evitar el acceso o la divulgación de información de propiedad de la empresa, los visitantes no pueden acceder sin escolta a áreas restringidas o controladas;
- ciertas instalaciones exclusivas de Quest utilizan monitoreo de CCTV, guardias de seguridad y otras medidas físicas cuando sea apropiado y legalmente permitido;
- en la mayoría de los sitios se proporcionan contenedores para triturar con llave para permitir la destrucción segura de información confidencial/datos personales;
- para proyectos de desarrollo de software e implementación de infraestructura, la función de SI utiliza un proceso de evaluación de riesgos y un programa de clasificación de datos para administrar los riesgos que surgen de tales actividades.
Plan de respuesta e incidentes de seguridad
- Plan de respuesta a incidentes de seguridad: One Identity mantiene una política de respuesta a incidentes de seguridad y un plan y procedimientos relacionados, donde se abordan las medidas que tomará One Identity en caso de pérdida de control, robo, divulgación no autorizada, acceso no autorizado o adquisición no autorizada de datos personales. Estas medidas pueden incluir análisis de incidentes, contención, respuesta, remediación, informes y el regreso a las operaciones normales.
- Controles de respuesta: existen controles para proteger y respaldar la detección del uso malintencionado de activos y software malintencionado y para informar incidentes potenciales a la función de SI de Quest o a la mesa de servicio para que tomen las medidas adecuadas. Los controles pueden incluir, sin limitación: políticas y estándares de seguridad de la información; acceso restringido; entornos de prueba y desarrollo designados; detección de virus en servidores, computadoras de escritorio y portátiles; detección de virus en archivos adjuntos de correo electrónico; análisis de cumplimiento del sistema; vigilancia y respuesta de prevención de intrusiones; reglas de firewall; registro y alerta sobre eventos clave; procedimientos de manejo de información basados en el tipo de datos; seguridad de redes y aplicaciones de comercio electrónico; y detección de vulnerabilidades de sistemas y aplicaciones. Se pueden implementar controles adicionales en función del riesgo.
Control y cifrado de transmisión de datos
Quest, en la medida en que tenga control sobre cualquier transmisión electrónica o transferencia de datos personales, tomará todas las medidas razonables para garantizar que dicha transmisión o transferencia no se pueda leer, copiar, alterar o eliminar sin la debida autorización durante su transmisión o transferencia. En particular, Quest realizará lo siguiente:
- implementar prácticas de cifrado estándar de la industria en la transmisión de datos personales. Los métodos de cifrado estándar de la industria utilizados por Quest incluyen Secure Sockets Layer (SSL), Transport Layer Security (TLS), un programa de Secure Shell, como SSH, o Internet Protocol Security (IPSec);
- para aplicaciones de acceso a Internet que pueden manejar datos personales confidenciales o proporcionar integración en tiempo real con sistemas en la red que contienen dicha información (incluida la red central de Quest), se puede usar un firewall de aplicaciones web (WAF) para proporcionar una capa adicional de verificación de entrada y mitigación de ataques. El WAF se configurará para mitigar posibles vulnerabilidades como ataques de inyección, desbordamientos de búfer, manipulación de cookies y otros métodos de ataque comunes.
Controles de acceso al sistema
El acceso a los sistemas de Quest está restringido a usuarios autorizados. Los procedimientos y controles formales rigen la forma en que se otorga el acceso a las personas autorizadas y el nivel de acceso que se requiere y es apropiado para que esa persona realice sus tareas laborales.
Control de acceso a datos
Quest aplica los controles que se establecen a continuación con respecto al acceso a datos personales y a su uso:
- se instruye al personal a utilizar solo la cantidad mínima de datos personales necesarios para lograr los propósitos comerciales relevantes de Quest;
- se instruye al personal a no leer, copiar, modificar o eliminar datos personales a menos que sea necesario para llevar a cabo sus tareas laborales;
- el uso de datos personales por parte de terceros se rige por medio de términos y condiciones contractuales entre el tercero y Quest, que imponen límites al uso de datos personales por parte de terceros y restringen dicho uso a lo que sea necesario para que el tercero brinde servicios;
Control de disponibilidad
Quest protege los datos personales contra la destrucción o pérdida accidental siguiendo estos controles:
- los datos personales se conservan de conformidad con el contrato del cliente o, en su ausencia, la política y las prácticas de gestión de registros de Quest, así como los requisitos legales de retención;
- los datos personales impresos se eliminan en un contenedor de eliminación seguro o en una trituradora de corte transversal de modo que la información ya no sea descifrable;
- los datos personales electrónicos se entregan al equipo de administración de activos de TI de Quest para su eliminación adecuada;
- se han implementado las medidas técnicas adecuadas, que incluyen (sin limitación): el software antivirus está instalado en todos los sistemas; la protección de la red se proporciona a través de un cortafuegos; segmentación de la red; usuario de filtro de contenido/proxies; fuente de alimentación sin interrupciones; generación regular de respaldos; duplicación del disco duro cuando sea necesario; sistema de seguridad contra incendios; sistemas de protección del agua cuando sea apropiado; planes de emergencia; y salas de servidores con aire acondicionado.
Control de entrada de datos
Quest dispone, en su caso, de medidas diseñadas para comprobar si los datos personales han sido introducidos en los sistemas de tratamiento de datos y quién los ha introducido, o si dichos datos han sido modificados o eliminados. Se registra el acceso a las aplicaciones relevantes.
Desarrollo y mantenimiento de sistemas
Las vulnerabilidades de terceros publicadas se revisan para determinar su aplicabilidad en el entorno de Quest. Según el riesgo para el negocio y los clientes de Quest, existen plazos predeterminados para la corrección. Además, se realizan análisis y evaluaciones de vulnerabilidades en aplicaciones nuevas y clave, y en la infraestructura según el riesgo. Las revisiones de código y los escáneres se utilizan en el entorno de desarrollo antes de la producción para detectar de forma proactiva las vulnerabilidades de codificación en función del riesgo. Estos procesos permiten la identificación proactiva de vulnerabilidades y el cumplimiento.
Cumplimiento
Los departamentos de seguridad de la información, legal,
privacidad y cumplimiento trabajan para identificar las leyes y
regulaciones regionales que pueden ser aplicables a Quest. Estos
requisitos cubren áreas como la propiedad intelectual de Quest y
sus clientes, licencias de software, protección de la
información personal de los empleados y clientes, protección
de datos y procedimientos de manejo de datos, transmisión de datos
transfronterizos, procedimientos financieros y operativos, controles
regulatorios de exportación en torno a la tecnología. y
requisitos forenses.
Mecanismos tales como el programa de seguridad
de la información, el consejo ejecutivo de privacidad,
auditorías/evaluaciones internas y externas, consulta de
asesoría legal interna y externa, evaluación de controles
internos, pruebas de penetración interna y evaluaciones de
vulnerabilidad, gestión de contratos, conciencia de seguridad,
consultoría de seguridad, revisiones de excepciones de
políticas y la gestión de riesgos se combinan para impulsar
el cumplimiento de estos requisitos.
Subprocesadores
La información sobre los subprocesadores actuales está
disponible en
https://support.quest.com/subprocessor . El cliente puede suscribirse
a notificaciones de nuevos subprocesadores.
La información
sobre medidas técnicas y organizativas adicionales
específicas del producto se encuentra disponible en las
Guías de seguridad relacionadas con el producto.