1. ¿Garantiza MARFEEL la segregación de datos?
Sí, los datos se separan para cada cliente. Se garantiza que todos los accesos a los datos están pre-filtrados para cada cliente.
2. ¿Dispone MARFEEL de perfiles de acceso basados en funciones específicas para cada función siguiendo el principio del mínimo privilegio?
Sí, cada persona sólo tiene los privilegios necesarios para realizar su trabajo, ya que existen derechos de acceso diferenciados (perfiles de usuario, funciones, transacciones y objetos).
Además, sólo los administradores del sistema tienen acceso a los sistemas de procesamiento de datos.
3. ¿Está asegurado el acceso del administrador mediante controles múltiples? Explique cómo se implementan los controles adicionales.
No.
4. ¿Dispone el proveedor de una política de contraseña mínima de 12 caracteres mediante una contraseña?
Sí, además siempre priorizamos el uso de certificados cuando es posible deshabilitando las opciones de acceso con contraseña.
5. ¿Realiza MARFEEL revisiones periódicas de las listas de control de acceso?
Sí, tenemos una política de contratación y despido de empleados con revisiones de acceso adecuadas.
6. ¿Se utilizan controles criptográficos para ofuscar las credenciales de autenticación si se almacenan? Explique cómo se aplica el control.
Sí, todas las credenciales utilizadas por nuestra infraestructura se almacenan cifradas con fuertes algoritmos criptográficos utilizando claves almacenadas en sistemas externos de gestión de claves con restricciones de acceso para los usuarios.
7. ¿Existen controles estrictos sobre el acceso a los datos y comprobaciones independientes para garantizar que no se ha accedido, manipulado o extraído datos a menos que sea necesario para una tarea concreta?
Sí, almacenamos y controlamos todas las consultas lanzadas a nuestros datos.
8. ¿Se exige a los empleados de MARFEEL que utilicen medidas de autenticación fuertes para conectarse a plataformas de terceros (por ejemplo, un identificador y una contraseña y un código secreto enviados a un teléfono)?
Sí, habilitamos la MFA (autenticación multifactor) cuando está disponible.
9. ¿Los sistemas que procesan datos están protegidos contra vulnerabilidades mediante un enfoque basado en el riesgo?
Sí, supervisamos todo el software que utilizamos y lo actualizamos en caso de que se produzcan actualizaciones de seguridad.
10. ¿Los sistemas que procesan datos tienen el nivel más actualizado de antivirus disponible para el sistema operativo, la aplicación y el fabricante?
No
11. ¿Utiliza el proveedor software de fuga de datos para detectar la pérdida de datos por correo electrónico HTTP/S y medios portátiles?
No aplicable
12. ¿Se realizan pruebas trimestrales de vulnerabilidad en las direcciones IP externas?
Sí, pero aún no están automatizadas
13. ¿Se gestiona todo tipo de mantenimiento mediante un proceso definido de gestión de cambios?
Las actualizaciones se gestionan a través de herramientas CI/CD utilizando nuestro VCS como fuente de empuje.
14. ¿Todo el software utilizado para el tratamiento de datos ha sido desarrollado con arreglo a un estándar de desarrollo de software seguro, que tenga en cuenta los requisitos de privacidad de los datos, por desarrolladores de software formados en privacidad de datos y desarrollo seguro de software?
Sí, todos los desarrollos se realizan con un enfoque seguro por defecto y todos los desarrolladores han recibido formación sobre privacidad de datos.
15. ¿Se comprueba el software utilizado para el tratamiento de datos para detectar las vulnerabilidades enumeradas en el top 10 de OWASP, antes de que las nuevas versiones se apliquen de forma operativa?
Sí, pero aún no está automatizado.
16. ¿Evalúa MARFEEL las amenazas a la seguridad de los datos derivadas del proceso de copia de seguridad (desde el punto de creación de la copia de seguridad, pasando por el proceso de tránsito, hasta el lugar de almacenamiento final)?
Sí.
17. ¿Se transfieren los datos de las copias de seguridad mediante conexiones seguras a Internet si se realizan en línea?
Sí, los datos se transfieren mediante conexiones seguras.
18. ¿Las copias de seguridad físicas se guardan encriptadas?
No, pero se almacenan en otro lugar físico.
19. ¿Se revisa periódicamente el nivel de cifrado para garantizar que sigue siendo adecuado al entorno de riesgo actual?
Sí, utilizamos algoritmos actualizados.
20. ¿Existen y se mantienen actualizados programas de detección y prevención de intrusiones, antivirus y cortafuegos (incluidos los cortafuegos de red)?
Cortafuegos y supervisión de la red: sí
21. ¿Se realizan auditorías periódicas del contenido de los ordenadores portátiles para garantizar que sólo el personal que está autorizado a guardar datos de clientes y datos personales en sus ordenadores portátiles lo hace y que es por auténticas razones de trabajo?
No
22. ¿Han implementado medidas técnicas y organizativas para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos disponibles en los locales e instalaciones donde se procesan los Datos Personales (incluyendo bases de datos, servidores de aplicaciones y hardware relacionado)?
No disponemos de sistemas de tratamiento de datos en nuestras instalaciones. Todos nuestros proveedores disponen de certificaciones que garantizan un nivel adecuado de cumplimiento en sus instalaciones como ISO-27001, SOC-2 o equivalentes.
23. ¿Ha aplicado medidas técnicas y organizativas para garantizar que los Datos Personales estén protegidos frente a la destrucción o pérdida accidental (física o lógica)?
- Procedimientos de copia de seguridad: sí
- Proceso de duplicación de discos duros (como la tecnología RAID): no, debido a que todos nuestros sistemas están replicados
- Fuente de alimentación ininterrumpida (SAI): sí
- Almacenamiento remoto: sí
- Sistemas antivirus/cortafuegos: sí
- Plan de recuperación en caso de catástrofe: no