Propósito

Esta Política de Seguridad de la Información brinda una descripción general de los controles de seguridad desarrollados por Glim para garantizar que todo el personal, las herramientas y los servicios cumplan con las normas y lineamientos relacionados con la seguridad y la confidencialidad.

El idioma de notificación, alerta, uso y demás relativos al tratamiento de los datos expresados en este documento sobre los derechos de los usuarios, se visualizan automáticamente en el idioma de origen del usuario en cuestión.

Organización

Glim ha definido una estructura organizacional con líneas de reporte, autoridades y responsabilidades para el desarrollo, implementación, operación, mantenimiento y monitoreo de sistemas relacionados con la seguridad y confidencialidad.

El Director de Cumplimiento de Glim actúa como el principal controlador del sistema de gestión de seguridad de Glim.

Esta política será revisada al menos una vez al año y cuando existan cambios que puedan afectar la gestión empresarial en materia de Seguridad de la Información.

Todo el personal es responsable de la seguridad de la información y, por lo tanto, debe comprender y cumplir con esta política y los documentos asociados. El no hacerlo puede resultar en sanciones disciplinarias.

Políticas

Nuevos empleados y consultores

El Área de Recursos Humanos actúa como el responsable de desarrollar, implementar, mantener y monitorear el proceso que afecta la seguridad y confidencialidad, según los nuevos empleados/consultores.

Por lo tanto garantiza que antes de que los nuevos empleados o consultores tengan acceso a cualquier recurso de la empresa, deben firmar copias de todos los documentos enumerados en la lista de verificación de incorporación como parte del proceso de alta de contratación.

Terminos y condiciones

Las condiciones de Glim para los usuarios están disponibles en: https://getglim.com/terminos-y-condiciones/ 

Debido a cambios en el negocio y la tecnología, Glim puede necesitar cambiar los términos de privacidad en su sitio web público.

Control de acceso

Glim aplica controles de acceso lógico para garantizar que los datos y el equipo estén seguros y accesibles solo para el personal autorizado.

Todo acceso a la red y al sistema requiere una identificación de usuario y una contraseña de red únicas para fines de identificación y autorización.

Las cuentas compartidas están prohibidas. También se implementan métodos de inicio de sesión único y autenticación de dos factores para acceder a los sistemas de Glim.

La empresa lleva a cabo revisiones de acceso trimestralmente para garantizar que cada rol tenga el acceso adecuado a los datos y sistemas de información.

El acceso al ambiente de producción y a los datos está controlado y limitado únicamente al área de Tecnología de Glim. Los accesos se gestionan con el sistema de autenticación de Google.

Desarrollo de Software

Glim cuenta con un proceso de desarrollo basado en la metodología ágil Scrum que utiliza Github para gestionar código y elementos de trabajo a través de sprints con objetivos definidos.

Los cambios de software se rastrean en Github, el código se revisa y prueba en un entorno de prueba antes de lanzarlo a producción. Estos entornos de prueba y producción son entornos separados. Existe una segregación de funciones impuesta por el sistema entre los desarrolladores que generan el código y los desarrolladores que publican los cambios en el entorno de producción.

El equipo de desarrollo de software de Glim está siguiendo las pautas OWASP Top10 para el desarrollo de código seguro.

Sistemas en producción

La plataforma Glim está alojada en Amazon Web Services. Los controles de seguridad operativos y de red se implementan como parte de los requisitos estándar de seguridad. 

Las pruebas de penetración se realizan al menos una vez al año y los resultados son revisados por la gerencia y rastreados hasta su resolución como parte de su procedimiento de evaluación de riesgos.

Registro y análisis

La plataforma Glim registra cada transacción utilizando herramientas de monitoreo, que conserva cada evento enviado en un almacén de datos administrado por AWS y se respalda cada hora con backups instantáneos. Las plataformas de Glim también mantienen una entrada de registro especial para detectar intentos fallidos de acceder al registro.

Las revisiones de registros se realizan trimestralmente para determinar si un evento en particular se ha registrado previamente en las diversas revisiones. Si durante esta investigación inicial hay un evento que no se ajusta al perfil normal, debe marcarse para una mayor investigación. 

Datos en tránsito

Glim utiliza seguridad de nivel de transporte de datos cifrados con HTTPS. Las contraseñas de usuarios que se registran directamente con Glim permanecen cifradas en keycloak.

Retención de datos

Todos los datos del usuario se conservan mientras exista como usuario y se cifran en reposo con AES-256. Salvo que el usuario solicite expresamente que se elimine su información.

Copias de respaldo

El proceso de copia de seguridad de los datos del usuario consiste en una copia de seguridad completa de la base de datos cada 24 horas, de las cuales se conservan durante 20 días. Los datos de usuarios solo residen en el entorno de producción cifrados al igual que los datos de copia de seguridad, según lo establecido por el mecanismo de almacenamiento utilizado por AWS. 

Sub procesadores

Glim utiliza ciertos subprocesadores para ayudar en la prestación de los servicios; estos proveedores de servicios pueden almacenar y procesar datos personales.

La lista de Sub-Encargados y sus funciones dentro de Glim están disponibles para cualquier persona que lo solicite. Glim se reserva el derecho de eliminar, modificar, cambiar o agregar subprocesadores.

Eliminación de datos

Los acuerdos de usuario establecen que los usuarios pueden solicitar la eliminación de todos o parte de los datos en cualquier momento. Esta solicitud solo puede ser ejecutada por personal autorizado y el remitente debe ser una cuenta de usuario válida con derechos administrativos en la computadora que el usuario está tratando de eliminar.

En caso que el usuario solicite su eliminación, se le notifica a través del mismo ticket utilizado para las solicitudes de eliminación de datos, inmediatamente que se ha completado su solicitud de eliminación de datos.

Antivirus

Glim utiliza software antivirus en todos los equipos. El área de Tecnología garantiza que todos los clientes de Antivirus estén actualizados. No existe información temporal almacenada en unidades locales.

Entrenamiento y concientización

Glim realiza capacitaciones formales de seguridad y concientización para educar a los empleados y contratistas sobre la seguridad informática y el uso correcto de la información.

Terceras partes

Cuando existe una necesidad comercial de divulgar cualquier información comercial de Glim a terceros (como socios comerciales y contratistas) o de otorgar a terceros acceso a la información, el Director de Área ejecuta un acuerdo de confidencialidad.

Clasificación de la información

Glim implementa controles adecuados de clasificación de la información, con base en los resultados de la evaluación formal de riesgos.

Gestión de riesgos

Las evaluaciones de riesgos se realizan periódicamente para identificar amenazas y vulnerabilidades para todos los sistemas. Las estrategias de mitigación se analizan con base en los resultados de la evaluación de riesgos. La política de gestión de riesgos requiere una revisión formal de la evaluación de riesgos y la actualización del plan de implementación, las políticas y los procedimientos para abordar los cambios que podrían afectar el sistema.

Ley de protección de datos personales y GDPR

Glim cumple con GDPR como un proceso continuo, las herramientas y los procesos están implementados para cumplir con todos los derechos requeridos por la ley de datos personales y  GDPR que una persona puede ejercer.

En algunas circunstancias y de acuerdo con la ley aplicable, los derechos de protección de datos de un individuo pueden estar legalmente restringidos.

Cualquier consulta o pregunta relacionada con los datos personales puede enviar un correo electrónico a la Oficina de Protección de Datos: compliance@getglim.com