Se engloba en este epígrafe las condiciones particulares en cuanto a la protección de datos personales y medidas de seguridad de aquellos servicios que supongan la operación y mantenimiento de equipamiento, físico o virtual, de comunicaciones como centralita virtual, fax virtual, centralitas físicas, etc.

Datos a tratar: Datos identificativos, de contacto, tráfico de telecomunicaciones e IP pública de Empleados, Clientes o Colaboradores de la Empresa.

Tratamientos a realizar: Conservación, Consulta, Comunicación por transmisión y Supresión.

Subencargados:

• ZTE España S.L.U. -> Soporte técnico avanzado

Medidas de seguridad

El Operador ha implementado y mantendrá en vigor adecuadas medidas técnicas y organizativas, controles internos y rutinas de seguridad de la información dirigidas a proteger los Datos del Cliente frente a actos accidentales, ilícitos o no autorizados de acceso, revelación, alteración, pérdida o destrucción, según se describe a continuación:

Organización de la seguridad de la información

• Responsabilidad en materia de seguridad. El Operador ha designado un responsable de seguridad, encargado de coordinar y asegurar el cumplimiento de las políticas y procedimientos de seguridad. Además, ha nombrado un Delegado de Protección de Datos, encargado de coordinar y asegurar el cumplimiento en materia de Protección de Datos de todos los servicios y productos de la compañía.
• Roles y responsabilidades en materia de seguridad. Existe una definición de roles y responsabilidades de cada puesto de trabajo que pueda implicar acceso a los datos del cliente, que incluye todo lo relativo a seguridad y privacidad. Además, el personal del Operador que tenga acceso a los Datos del Cliente estará sujeto a obligaciones de confidencialidad.
• Documentación en materia de seguridad. Existen procedimientos documentados y normativa en materia de seguridad.

Seguridad en relación con los recursos humanos

• Normativa de uso de equipamiento y seguridad de la información. Indica las normas de uso de los equipos informáticos, móviles y sistemas de información, y es de obligado conocimiento por parte de todo el personal que pueda llegar a tratar datos del cliente. La finalidad de esta normativa es asegurar un buen uso de los sistemas de información y minimizar los riesgos en cuanto a seguridad.
• Formación en materia de seguridad. Todo el personal que tenga acceso a datos del cliente ha sido formado adecuadamente para el mantenimiento de las mejores prácticas en cuanto a seguridad y privacidad, así como en los procedimientos de seguridad aplicables, en función de las tareas que requiera su puesto de trabajo. Así mismo, el personal está informado sobre las posibles consecuencias del incumplimiento de procedimientos y normas relativos a seguridad.

Seguridad física y del entorno

• Acceso físico a las instalaciones. El Operador únicamente permite que personas físicas autorizadas puedan acceder las instalaciones en que se ubican los sistemas de información que tratan Datos del Cliente.
• Protección frente a interrupciones. El Operador emplea una variedad de sistemas estándares en la industria como protección frente a pérdidas de datos debidas a fallos en el suministro eléctrico, así como protección frente a incendios
• Eliminación. El Operador emplea procesos estándares en la industria para eliminar Datos del Cliente que ya no son necesarios tanto Datos Personales como cualquier otro tipo de dato o activo del cliente.

Gestión de operaciones

• Software malicioso. El Operador tiene controles contra el malware en su infraestructura para ayudar a evitar que el software malicioso obtenga acceso no autorizado a los Datos del Cliente.
• Registro de sucesos. Los sistemas de tratamiento de datos gestionados por el Operador disponen de un sistema de registro de eventos (logs) que se analizan en caso necesario.

Control de accesos

• Los sistemas de información y componentes que se utilizan para proporcionar los servicios al Cliente cuentan con capacidades para establecer las prácticas estándares en la industria para identificar y autenticar a los usuarios que intentan acceder a los mismos. Será responsabilidad del Cliente el correcto uso de estas capacidades en cuanto a aquellos usuarios y/o credenciales de acceso que se le faciliten para la administración y utilización de estos servicios por su parte. Estas medidas recogen, entre otras, las siguientes: diferentes perfiles de acceso, sistemas que permiten identificar a las personas autorizadas que han accedido, contraseñas almacenadas de forma ininteligible, etc.
  • En cuanto a los accesos de usuarios administradores gestionados por MASMOVIL Empresa esta se compromete a cumplir con las siguientes medidas de seguridad:
  • Política de menor privilegio: sólo se permite el acceso a aquel personal que por sus funciones laborales lo precisa y sólo cuando lo necesita.
  • Registro de privilegios de seguridad concedido a cada persona física con acceso.
  • Política con identificación del personal que puede otorgar, alterar o cancelar la autorización de acceso.
  • Desactivación de las credenciales de acceso que no han sido utilizadas durante un periodo de tiempo que no excede de seis meses.
  • Instrucción a los usuarios administradores para que desactiven las sesiones administrativas cuando dejen de utilizarlas o si las dejan sin atención.

Gestión de incidencias de seguridad de la información

• Proceso de respuesta a incidencias. El Operador tiene un procedimiento de respuesta ante incidentes basado en estándares y en mejores prácticas, que nos asegure la capacidad de detectar y actuar ante brechas de seguridad. Que incluye apartados específicos para el caso en que estas brechas supongan violaciones de datos personales responsabilidad del Cliente.
• Monitorización del servicio. El Operador dispone de un proceso de monitorización que verifica el estado de los distintos servicios.

Se engloban en este epígrafe las condiciones particulares en cuanto a protección de datos y medidas de seguridad ofertadas para los servicios o paquetes de servicios destinados a la ciberseguridad en la red del Cliente y en su salida a Internet, como Cibserseguridad, Scudo, Firewall Virtual, WAF, MDM, antivirus con consola centralizada, servicios de análisis de vulnerabilidades, consultoría, etc.

Las condiciones particulares para el servicio de copia de seguridad en la nube se encuentran recogidas en el apartado de Soluciones Cloud.

Datos a tratar: Datos identificativos, de contacto, tráfico de telecomunicaciones e IP pública de Empleados y Colaboradores de la Empresa.

Tratamientos a realizar: Recogida, Registro, Consulta y Supresión.

Subencargados del tratamiento:

• Fractalia Systems S.L.
• S2 GRUPO SOLUCIONES DE SEGURIDAD, S.L.U.
• INNOVACIONES TECNOLÓGICAS DEL SUR S.L.

Medidas de seguridad:

El Operador ha implementado y mantendrá en vigor adecuadas medidas técnicas y organizativas, controles internos y rutinas de seguridad de la información dirigidas a proteger los Datos del Cliente frente a actos accidentales, ilícitos o no autorizados de acceso, revelación, alteración, pérdida o destrucción, según se describe a continuación:

Organización de la seguridad de la información

• Responsabilidad en materia de seguridad. El Operador ha designado un responsable de seguridad, encargado de coordinar y asegurar el cumplimiento de las políticas y procedimientos de seguridad. Además, ha nombrado un Delegado de Protección de Datos, encargado de coordinar y asegurar el cumplimiento en materia de Protección de Datos de todos los servicios y productos de la compañía.
• Roles y responsabilidades en materia de seguridad. Existe una definición de roles y responsabilidades de cada puesto de trabajo que pueda implicar acceso a los datos del cliente, que incluye todo lo relativo a seguridad y privacidad. Además, el personal del Operador que tenga acceso a los Datos del Cliente estará sujeto a obligaciones de confidencialidad.
• Documentación en materia de seguridad. Existen procedimientos documentados y normativa en materia de seguridad.

Seguridad en relación con los recursos humanos

• Normativa de uso de equipamiento y seguridad de la información. Indica las normas de uso de los equipos informáticos, móviles y sistemas de información, y es de obligado conocimiento por parte de todo el personal que pueda llegar a tratar datos del cliente. La finalidad de esta normativa es asegurar un buen uso de los sistemas de información y minimizar los riesgos en cuanto a seguridad.
• Formación en materia de seguridad. Todo el personal que tenga acceso a datos del cliente ha sido formado adecuadamente para el mantenimiento de las mejores prácticas en cuanto a seguridad y privacidad, así como en los procedimientos de seguridad aplicables, en función de las tareas que requiera su puesto de trabajo. Así mismo, el personal está informado sobre las posibles consecuencias del incumplimiento de procedimientos y normas relativos a seguridad.

Seguridad física y del entorno

• Acceso físico a las instalaciones. El Operador únicamente permite que personas físicas autorizadas puedan acceder las instalaciones en que se ubican los sistemas de información que tratan Datos del Cliente.
• Protección frente a interrupciones. El Operador emplea una variedad de sistemas estándares en la industria como protección frente a pérdidas de datos debidas a fallos en el suministro eléctrico, así como protección frente a incendios
• Eliminación. El Operador emplea procesos estándares en la industria para eliminar Datos del Cliente que ya no son necesarios tanto Datos Personales como cualquier otro tipo de dato o activo del cliente.

Gestión de operaciones

• Software malicioso. El Operador tiene controles contra el malware en su infraestructura para ayudar a evitar que el software malicioso obtenga acceso no autorizado a los Datos del Cliente.
• Datos fuera del perímetro: el Operador encripta los Datos del Cliente que se transmiten sobre redes públicas, en los accesos de su responsabilidad.
• Registro de sucesos. Los sistemas de tratamiento de datos gestionados por el Operador disponen de un sistema de registro de eventos (logs) que se analizan en caso necesario.

Control de accesos

• Política de acceso. El Operador mantiene un registro de los privilegios de seguridad que tienen las personas físicas que disponen de acceso a los Datos del Cliente.

• Autorización de acceso

  • El Operador mantiene y actualiza un registro del personal que está autorizado a acceder a los sistemas del Operador que contienen Datos del Cliente.
  • El Operador desactiva las credenciales propias de autenticación que no han sido utilizadas durante un periodo de tiempo que no excede de seis meses.
  • El Operador identifica qué personal puede otorgar, alterar o cancelar el acceso autorizado a datos y recursos.
  • El Operador dispone de sistemas que le permiten identificar las personas autorizadas que han accedido a los sistemas del Operador.

• Menor privilegio

  • Al personal de soporte técnico únicamente se le permite tener acceso a los Datos del Cliente cuando lo necesita
  • El Operador restringe el acceso a los Datos del Cliente únicamente a aquellas personas físicas que lo precisan para ejecutar sus funciones laborales.

• Integridad y confidencialidad

  • El Operador instruye a sus empleados a que desactiven las sesiones administrativas cuando abandonen las instalaciones o cuando los ordenadores se dejen sin atención por cualquier otro motivo.
  • El Operador almacena las contraseñas de un modo que las hace ininteligibles.

• Autenticación

  • El Operador emplea prácticas estándares en la industria para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información.
  • El Operador requiere que las contraseñas se renueven con regularidad y tengan, al menos, una longitud de 8 caracteres.
  • El Operador se asegura de que los identificadores desactivados o expirados no sean otorgados a otras personas físicas.

Gestión de incidencias de seguridad de la información

• Proceso de respuesta a incidencias. El Operador tiene un procedimiento de respuesta ante incidentes basado en estándares y en mejores prácticas, que nos asegure la capacidad de detectar y actuar ante brechas de seguridad. Que incluye apartados específicos para el caso en que estas brechas supongan violaciones de datos personales responsabilidad del Cliente.
• Monitorización del servicio. El Operador dispone de un proceso de monitorización que verifica el estado de los distintos servicios.

Se trata de servicios destinados a que el Cliente pueda proporcionar accesos Wifi seguros a usuarios registrados, con una gestión centralizada de los mismos, así como para la explotación de los datos obtenidos de la misma.

Datos a tratar: Datos identificativos, datos de contacto, tráfico de telecomunicaciones e Ip pública de usuarios del servicio Wifi prestado por la Empresa.

Tratamientos a realizar: Recogida, Registro, Conservación, Consulta, Comunicación por transmisión y Supresión.

Subencargados del tratamiento:

• Fractalia Systems S.L.

Medidas de seguridad:

El Operador ha implementado y mantendrá en vigor adecuadas medidas técnicas y organizativas, controles internos y rutinas de seguridad de la información dirigidas a proteger los Datos del Cliente frente a actos accidentales, ilícitos o no autorizados de acceso, revelación, alteración, pérdida o destrucción.

Más concretamente, el centro de servicios encargado de la operación de la plataforma que soporta el servicio de Wifi que se presta al cliente tiene la certificación de seguridad ISO 27001 que cubre el servicio de soporte, la operación del sistema de control y el soporte de las comunicaciones. Cumpliendo con todas las medidas de seguridad y controles necesarios para la obtención de citada certificación.

Además, se han implementado las siguientes medidas de seguridad específicas para los servicios de Portal Cautivo y Plataforma de Analítica de Datos. Éstas únicamente aplicarán en caso de que el cliente haya contratado, o contrate en el futuro, estos servicios:

• Plataforma de Analítica de Datos - TRAQUS

  • Solicitud de autorización de uso de datos para aplicación
  • Almacenamiento de datos de usuario encriptados en base a un algoritmo aleatorio con base de tiempo rotante que garantiza la irreversibilidad de datos
  • Protección de base de datos con contraseña privada
  • Derechos ARSOLP en base a URL privada en la aplicación

• Plataforma de portal cautivo - WIFIPLEX

  • Almacenamiento de contraseñas encriptadas
  • Protección de base de datos con contraseña privada
  • Derechos ARSOLP en base a URL privada en la aplicación
  • Sistema de encriptación de disco duro
  • Registro completo de logs de usuarios conectados
  • Control de perfiles de acceso

Se trata de soluciones para empresas prestadas desde servicios Cloud propios del Operador como servicios de computación en la nube (DataCenter virtual), alojamiento de servidores, alojamiento web y/o de base de datos, almacenamiento de datos, copias de seguridad remotas, etc.

Datos a tratar:

En el caso de este tipo de servicios estos implicarán el acceso a datos personales sólo en el caso de que el Cliente lo utilice para almacenar y/o tratar este tipo de datos. Es por ello que el Cliente deberá comunicar fehacientemente al Operador el tratamiento de Datos Personales antes del comienzo del mismo, tanto en el caso de tratarse de datos responsabilidad del Cliente como de terceros para los que este ejerza como encargado del Tratamiento según el preceptivo contrato con el Responsable de los mismos.

El Cliente dejará indemne al Operador ante cualquier sanción o responsabilidad debida a la no regularización correcta del encargo del tratamiento por la no comunicación por su parte de la existencia de un Tratamiento de Datos Personales.

Tratamientos a realizar: Conservación, Comunicación por transmisión, Supresión y Copia de seguridad (si está contratada).

Subencargados del tratamiento:

• Ibermática S.A.

Medidas de seguridad:

El Operador ha implementado y mantendrá en vigor adecuadas medidas técnicas y organizativas, controles internos y rutinas de seguridad de la información dirigidas a proteger los Datos del Cliente frente a actos accidentales, ilícitos o no autorizados de acceso, revelación, alteración, pérdida o destrucción, según se describe a continuación:

Organización de la seguridad de la información

• Responsabilidad en materia de seguridad. El Operador ha designado un responsable de seguridad, encargado de coordinar y asegurar el cumplimiento de las políticas y procedimientos de seguridad. Además, ha nombrado un Delegado de Protección de Datos, encargado de coordinar y asegurar el cumplimiento en materia de Protección de Datos de todos los servicios y productos de la compañía.
• Roles y responsabilidades en materia de seguridad. Existe una definición de roles y responsabilidades de cada puesto de trabajo que pueda implicar acceso a los datos del cliente, que incluye todo lo relativo a seguridad y privacidad. Además, el personal del Operador que tenga acceso a los Datos del Cliente estará sujeto a obligaciones de confidencialidad.
• Documentación en materia de seguridad. Existen procedimientos documentados y normativa en materia de seguridad.

Seguridad en relación con los recursos humanos

• Normativa de uso de equipamiento y seguridad de la información. Indica las normas de uso de los equipos informáticos, móviles y sistemas de información, y es de obligado conocimiento por parte de todo el personal que pueda llegar a tratar datos del cliente. La finalidad de esta normativa es asegurar un buen uso de los sistemas de información y minimizar los riesgos en cuanto a seguridad.
• Formación en materia de seguridad. Todo el personal que tenga acceso a datos del cliente ha sido formado adecuadamente para el mantenimiento de las mejores prácticas en cuanto a seguridad y privacidad, así como en los procedimientos de seguridad aplicables, en función de las tareas que requiera su puesto de trabajo. Así mismo, el personal está informado sobre las posibles consecuencias del incumplimiento de procedimientos y normas relativos a seguridad.

Seguridad física y del entorno

• Acceso físico a las instalaciones. El Operador únicamente permite que personas físicas autorizadas puedan acceder las instalaciones en que se ubican los sistemas de información que tratan Datos del Cliente.
• Soportes físicos. El Operador conserva un registro de los soportes físicos entrantes y salientes que contienen Datos del Cliente y que sean gestionados por el Operador, incluyendo el tipo de soporte, el remitente/receptor autorizado, la fecha y hora.
• Protección frente a interrupciones. El Operador emplea una variedad de sistemas estándares en la industria como protección frente a pérdidas de datos debidas a fallos en el suministro eléctrico, así como protección frente a incendios.
• Eliminación. El Operador emplea procesos estándares en la industria para eliminar Datos del Cliente que ya no son necesarios tanto Datos Personales como cualquier otro tipo de dato o activo del cliente.

Gestión de operaciones

• Software malicioso. El Operador tiene controles contra el malware en su infraestructura para ayudar a evitar que el software malicioso obtenga acceso no autorizado a los Datos del Cliente.
• Datos fuera del perímetro.
  • El Operador encripta los Datos del Cliente que se transmiten sobre redes públicas, en los accesos de su responsabilidad
  • El Operador restringe el acceso a los Datos del Cliente contenidos en soportes físicos que abandonan sus instalaciones, en aquellos casos bajo su responsabilidad (por ejemplo, a través de la custodia de dichos soportes)
• Registro de sucesos. Los sistemas de tratamiento de datos gestionados por el Operador disponen de un sistema de registro de eventos (logs) que se analizan en caso necesario.
• Copias temporales. En caso de que sea necesario generar copias temporales de los datos del Cliente, el Operador se compromete a aplicar las mismas medidas de seguridad que a los datos originales, y a destruirlas en cuanto dejen de ser necesarias.
• Pruebas. El Operador se compromete a, en caso de ser necesario para la prestación del servicio, a no realizar pruebas con datos reales, o en caso de que sea imprescindible, hacerlo a través de una copia temporal de los mismos a los que aplicará las medidas del punto anterior

Control de accesos

• Política de acceso. El Operador mantiene un registro de los privilegios de seguridad que tienen las personas físicas que disponen de acceso a los Datos del Cliente.
• Autorización de acceso.
  • El Operador mantiene y actualiza un registro del personal que está autorizado a acceder a los sistemas del Operador que contienen Datos del Cliente.
  • El Operador desactiva las credenciales propias de autenticación que no han sido utilizadas durante un periodo de tiempo que no excede de seis meses.
  • El Operador identifica qué personal puede otorgar, alterar o cancelar el acceso autorizado a datos y recursos.
  • El Operador dispone de sistemas que le permiten identificar las personas autorizadas que han accedido a los sistemas del Operador.
• Menor privilegio
  • Al personal de soporte técnico únicamente se le permite tener acceso a los Datos del Cliente cuando lo necesita.
  • El Operador restringe el acceso a los Datos del Cliente únicamente a aquellas personas físicas que lo precisan para ejecutar sus funciones laborales.
• Integridad y confidencialidad
  • El Operador instruye a sus empleados a que desactiven las sesiones administrativas cuando abandonen las instalaciones o cuando los ordenadores se dejen sin atención por cualquier otro motivo.
  • El Operador almacena las contraseñas de un modo que las hace ininteligibles.
• Autenticación
  • El Operador emplea prácticas estándares en la industria para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información.
  • El Operador requiere que las contraseñas se renueven con regularidad y tengan, al menos, una longitud de 8 caracteres.
  • El Operador se asegura de que los identificadores desactivados o expirados no sean otorgados a otras personas físicas.

Gestión de incidencias de seguridad de la información

• Proceso de respuesta a incidencias. El Operador tiene un procedimiento de respuesta ante incidentes basado en estándares y en mejores prácticas, que nos asegure la capacidad de detectar y actuar ante brechas de seguridad. Que incluye apartados específicos para el caso en que estas brechas supongan violaciones de datos personales responsabilidad del Cliente.
• Monitorización del servicio. El Operador dispone de un proceso de monitorización que verifica el estado de los distintos servicios.

Sólo si el servicio incluye copia de seguridad o el cliente lo ha contratado: Recuperación de datos.

• De manera regular y, en todo caso, con una frecuencia no inferior a una vez a la semana (salvo que los Datos del Cliente no se hayan actualizado en ese periodo), el Operador mantendrá múltiples copias de los Datos del Cliente, desde las que puedan recuperarse los Datos del Cliente.
• Si el Cliente así lo solicita, citadas copias podrán ser cifradas, pasando el Cliente a ser el único responsable de la custodia de las claves de cifrado, que el operador no conocerá, y de realizar las operaciones de recuperación de datos que le resulten necesarias. El Cliente declara conocer que una vez activada la opción de Back-up cifrado, el Operador no podrá tener acceso a los datos del Cliente y que citados datos se perderán si el Cliente pierde sus claves de cifrado.
• El Operador almacena las copias de los Datos del Cliente y los procedimientos de recuperación de datos en un lugar diferente de aquel donde se ubica el equipo de computación primario que trata los Datos del Cliente.
• El Operador ha implantado procedimientos específicos que regulan el acceso a las copias de los Datos del Cliente.
• El Operador revisa los procedimientos de recuperación de datos y su correcto funcionamiento al menos una vez cada seis meses.
• El Operador registra los trabajos de restauración de datos ejecutados directamente por este, incluyendo la persona responsable, la descripción de los datos restaurados y qué datos (en su caso) tuvieron que ser introducidos manualmente en el procedimiento de recuperación de datos.