X

¿Necesita Cloud Computing? Empiece ahora

Akamai logo
+1-8774252624
+1-8774252624
Iniciar sesión
Control Center
Acceda a la plataforma de Akamai
Cloud Manager
Gestione su recursos de nube
Probar Akamai
¿Está sufriendo un ataque?
Iniciar sesión
Control Center
Acceda a la plataforma de Akamai
Cloud Manager
Gestione su recursos de nube

Medidas técnicas y organizativas para servicios de API Security de Noname

Última actualización: noviembre de 2024

Medidas técnicas y organizativas para servicios de API Security (en adelante, "Servicios").

Datos personales tratados en relación con los Servicios: cualquier dato personal integrado en el tráfico de API del cliente, por ejemplo, dirección IP, nombre, correo electrónico, número de tarjeta de crédito y número de la Seguridad Social (SSN) (en adelante, "Datos personales de API").         

Estas medidas técnicas y organizativas (TOM) se aplican a los entornos híbridos y de software como servicio (SaaS) donde se usen los servicios de API Security.

Tal y como se indica en la lista de subencargados del tratamiento de datos, los subencargados que gestionan los sistemas de tickets de asistencia las implementan para proteger cualquier dato personal que se trate al ofrecer un servicio de asistencia para API Security en todos sus entornos (SaaS, híbrido o local).

Medidas de pseudonimización y cifrado de datos personales

Los Servicios ocultan de manera automática las categorías de datos más confidenciales en los Datos personales de API: número de cuenta bancaria, fecha de nacimiento, número de tarjeta de crédito, código de seguridad de la tarjeta de crédito (CVV), datos sanitarios, religión, salario, SSN, y datos del pasaporte. El cliente puede añadir nuevas categorías de datos para que se oculten.

Los Datos personales de API se cifran tanto en reposo como en tránsito, mediante métodos autorizados que cumplan los estándares del sector (p. ej., AES-256 o TLS 1.2 y versiones superiores).

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios encargados del tratamiento

El encargado del tratamiento de datos ha implementado y mantiene el programa de cumplimiento y de seguridad de la información de la empresa, diseñado para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas de información y tratamiento, por ejemplo:

  • Acuerdos de confidencialidad.
  • Formación sobre privacidad de datos y seguridad de la información. 
  • Políticas y procedimientos de seguridad de la información.
  • Procedimientos de copia de seguridad.
  • Almacenamiento remoto en centros de datos de terceros.
  • Uso de diferentes zonas de disponibilidad a través de proveedores de servicios en la nube como Amazon Web Services (AWS) u otros (como se indica en la lista de subencargados del tratamiento de datos) según las preferencias de cada cliente para garantizar que los datos se recuperen y estén disponibles si se produce una caída del servicio del centro de datos principal del proveedor de servicios en la nube. 
  • Controles de seguridad de red ininterrumpidos (p. ej., firewall, sistemas actualizados de detección y prevención de intrusiones) para proteger los sistemas contra intrusiones y limitar el alcance o el éxito de un ataque o intento de obtener acceso no autorizado al sistema del encargado del tratamiento de los datos, a dispositivos informáticos o a redes.
  • Controles de acceso remoto para supervisar el acceso a los sistemas o las redes del encargado del tratamiento de datos, incluida la autenticación multifactorial para cualquier usuario que acceda a la red del encargado del tratamiento de datos desde un sistema o red externos.
  • Procedimientos de gestión de parches y controles para implementar en el momento necesario parches y actualizaciones de seguridad en el software y el firmware.
  • Procedimientos y tecnologías de gestión de vulnerabilidades para identificar, evaluar, mitigar y proteger frente a vulnerabilidades y amenazas (tanto nuevas como existentes), incluidos virus, bots y código malicioso.
  • Controles de disponibilidad para proteger los datos personales contra la destrucción o pérdida accidental.

Medidas para garantizar la disponibilidad y el acceso a los datos personales en el momento necesario si se produce una incidencia técnica o física

El encargado del tratamiento mantiene:

  • Un plan de continuidad del negocio.
  • Un procedimiento de recuperación ante desastres.
  • Un plan de respuesta ante incidentes que se mantiene y se pone en práctica, por ejemplo, mediante ejercicios de recuperación completa del entorno.

Se realizan con frecuencia copias de seguridad de los sistemas de producción del encargado del tratamiento de datos, de conformidad con los procedimientos de copia de seguridad internos.

Procesos para probar, medir y evaluar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento

El encargado del tratamiento de datos ha implementado las siguientes medidas:

  • Programa de auditoría interna y externa, informes de auditoría y documentación.
  • Pruebas de procesos de copia de seguridad y procedimientos de continuidad del negocio.
  • Evaluación de riesgos y supervisión del sistema de forma regular.
  • Pruebas de vulnerabilidad y penetración periódicas.

El encargado se somete a evaluaciones de seguridad periódicas y posee las certificaciones que se indican en https://www.akamai.com/es/legal/compliance.

Medidas para identificar usuarios y autorizarlos

El encargado del tratamiento de datos mantiene políticas y procedimientos para gestionar la identificación y autorización de los usuarios, por ejemplo:

  • Políticas y procedimientos internos para establecer, gestionar y controlar los requisitos de autenticación y contraseñas.
  • Controles de autenticación de usuarios y métodos seguros para asignar, seleccionar y almacenar credenciales de acceso y bloquear el acceso después de un número razonable de intentos de autenticación fallidos.
  • Restricción de acceso para determinados usuarios.
  • Concesión de acceso cuando exista una necesidad de obtener información con protocolos para autorizar, establecer, modificar y poner fin a los derechos de acceso.
  • Sistemas de registros e informes.
  • Esquemas para controlar la autorización.
  • Derechos de acceso diferenciados (perfiles, roles, transacciones y objetos).
  • Sistemas para supervisar y registrar accesos.
  • Informes de acceso.
  • Políticas y procedimientos de acceso.
  • Políticas y procedimientos de gestión de cambios.

Medidas para proteger los datos durante la transmisión

Los Datos personales de API se protegen durante la transmisión mediante:

  • Cifrado cuando están en tránsito con estándares del sector como TLS 1.2 y versiones superiores.
  • Ocultación de cualquier dato confidencial según las preferencias del cliente y bajo su gestión.
  • Segregación de la red y de los datos del cliente.
  • Registro y supervisión de cualquier evento de seguridad relevante.

Medidas para proteger los datos durante el almacenamiento

Los Datos personales de API se protegen durante el almacenamiento mediante:

  • Cifrado en reposo con estándares del sector como AES-256. 
  • Controles de acceso.
  • Separación de bases de datos y segmentación lógica de los datos de los clientes respecto a los datos de otros clientes.
  • Diferenciación de funciones y entornos (producción/pruebas/desarrollo).
  • Procedimientos para almacenar, modificar, eliminar y transmitir datos con diferentes fines.

Medidas para garantizar la seguridad física de las ubicaciones en las que se realiza el tratamiento de los datos personales.

Los subencargados del tratamiento, como AWS u otro proveedor de servicios en la nube (como se describe en la lista de subencargados) elegido por el cliente, gestionan las siguientes medidas, ya que el encargado del tratamiento de datos no está autorizado para almacenar Datos personales de API en sus propios servidores:

  • Creación de áreas de seguridad y restricción de rutas de acceso.
  • Establecimiento de autorizaciones de acceso para empleados y terceros que necesiten obtener información.
  • Sistema de control de acceso (lector de ID, tarjeta magnética, tarjeta con chip).
  • Procedimientos de gestión de claves y tarjetas de acceso.
  • Bloqueo de puertas (apertura eléctrica de puertas, etc.).
  • Personal de seguridad.
  • Vigilancia de las instalaciones con cámaras, circuitos cerrados de televisión (CCTV) y sistema de alarma.
  • Protección del equipo de tratamiento descentralizado y de los ordenadores personales.

Las medidas detalladas aplicadas por cada proveedor de servicios en la nube elegido por el cliente se pueden consultar en sus respectivos sitios web. 

Medidas para garantizar el registro de eventos

El encargado del tratamiento de datos mantiene políticas y procedimientos para garantizar el registro de eventos, por ejemplo:

  • Procedimientos de identificación y autenticación de usuarios.
  • Procedimientos de seguridad de ID y contraseñas. 
  • Bloqueo automático de cuentas después de un número determinado de intentos fallidos de inicio de sesión.
  • Agotamiento del tiempo de espera de sesión por inactividad.
  • Tecnologías y procedimientos de gestión de registros para crear y mantener un registro de auditoría completo que permita realizar investigaciones forenses eficaces, incluida la supervisión de los intentos de acceso no autorizado y la desactivación automática del ID de usuario tras introducir varias contraseñas incorrectas.
  • Creación de un registro maestro por usuario.

Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada

El encargado del tratamiento de datos mantiene procedimientos y políticas para garantizar que sus sistemas se configuren y mantengan de acuerdo con los estándares del sector, por ejemplo:

  • Documentación y ajustes de configuración básica actualizados.
  • Procedimientos y controles operativos para garantizar que el software, los dispositivos informáticos y las redes se creen, configuren y mantengan de acuerdo con estándares internos estipulados que se ajusten a los estándares del sector.
  • Para llevar a cabo cambios en la configuración del sistema se necesitan privilegios específicos.

Medidas para el control y la gestión internos de TI y seguridad de TI

El encargado del tratamiento de datos gestiona el control de TI de acuerdo con estándares del sector como los Controles de Organizaciones de Servicio (SOC) 2 de tipo 2, la certificación nivel 2 del registro de seguridad, garantía y confianza (STAR) de Cloud Security Alliance (CSA), el estándar de seguridad de datos del sector de las tarjetas de pago (PCI-DSS) y la Ley de Transferibilidad y Responsabilidad de Seguros Médicos (HIPAA); y aplica sus respectivas medidas, por ejemplo: 

  • Políticas y procedimientos de seguridad de la información. 
  • Plan de respuesta ante incidentes.
  • Auditorías internas y externas periódicas.
  • Revisión y supervisión del programa de seguridad de la información.
  • Formación periódica sobre seguridad y privacidad de la información para los empleados.
  • Acceso a los datos basado en el principio de privilegios mínimos.                    

Medidas para la certificación/garantía de procesos y productos

Al encargado del tratamiento de datos le avalan las siguientes certificaciones:

  • SOC 2 tipo 2
  • CSA STAR 2
  • HIPAA
  • PCI DSS

Encontrará más información en https://www.akamai.com/es/legal/compliance.

Medidas para garantizar la minimización de los datos

El encargado del tratamiento de datos garantiza mediante los siguientes principios de privacidad desde el diseño que sus servicios y sistemas se desarrollan y diseñan de acuerdo con los requisitos de privacidad y que solo se procesan los datos estrictamente necesarios, entre ellos:

  • Procesamiento único de los datos necesarios para cumplir la finalidad del procesamiento.
  • Que los datos solo se recopilen cuando se detecten incidentes de seguridad de API y que se obtengan solo un número reducido de datos por cada API para fijar estándares de API.
  • Ocultación automática de determinadas categorías confidenciales de datos personales objeto de tratamiento durante los Servicios. Cada cliente puede añadir de manera autónoma nuevas categorías según sus preferencias.

Medidas para garantizar la calidad de los datos

El encargado del tratamiento de datos no está autorizado para actualizar o corregir los Datos personales de API que aparecen en los paquetes de tráfico de API que recibe. 

Medidas para garantizar que los datos se almacenen el menor tiempo posible

Los Datos personales de API se almacenan durante el periodo de vigencia del acuerdo y se pueden eliminar antes si así lo solicita el cliente. 

Medidas para garantizar la responsabilidad

El encargado del tratamiento de datos garantiza la responsabilidad mediante varias medidas, por ejemplo:

  • Políticas y procedimientos internos para proteger los datos.
  • Privacidad desde el diseño y predeterminada.
  • Registros de actividades de tratamiento de datos.
  • Evaluaciones del efecto en la privacidad, cuando sea necesario.
  • Evaluaciones del proceso de incorporación de proveedores y de diligencias debidas. 
  • Controles de los subencargados, entre ellos la selección minuciosa de estos mediante criterios y acuerdos adecuados. 
  • Programa de formación sobre privacidad de datos y seguridad de la información.

Medidas para permitir la portabilidad de los datos y garantizar su eliminación

El encargado del tratamiento garantiza la portabilidad y la eliminación mediante las siguientes medidas:

  • Los clientes pueden utilizar flujos de trabajo para integrar Servicios y recibir Datos personales de API desde sus propios sistemas automáticamente.
  • Exportación de los Datos personales de API si el cliente lo solicita.
  • Eliminación de los Datos personales de API si el cliente lo solicita.
  • Se eliminarán de conformidad con las mejores prácticas del Instituto Nacional de Normas y Tecnología (NIST) y bajo la gestión de AWS u otro proveedor de servicios en la nube (como se describe en la lista de subencargados del tratamiento de datos) elegido por el cliente.

Para las transferencias a los (sub)encargados, también es necesario definir las medidas técnicas y organizativas específicas que debe adoptar el (sub)encargado del tratamiento para prestar asistencia al responsable del tratamiento.

Si el encargado del tratamiento decide contratar a un subencargado, ambos deben firmar un acuerdo de conformidad con las mismas obligaciones de protección de datos recogidas por el acuerdo entre el encargado y el responsable del tratamiento. 

Descripción de las medidas técnicas y organizativas específicas que debe adoptar el encargado del tratamiento para prestar ayuda al responsable del tratamiento.

Para obtener más información sobre cómo ayuda el encargado del tratamiento de datos al responsable, consulte el acuerdo de tratamiento de datos y el acuerdo de servicio relacionado.