Privacidad en los servicios de concienciación de SoSafe

1. Preámbulo

Para nosotros, la cooperación basada en la confianza es el núcleo de una relación contractual exitosa. Y la confianza empieza por la transparencia. Consideramos que esta base de confianza y transparencia es esencial en todas las interacciones que puedas tener con SoSafe, incluido este documento. A continuación, describimos las medidas que hemos tomado en las áreas de protección y seguridad de datos para proteger los datos personales de tus empleados.

2. Protección y seguridad de los datos de un vistazo.

• Hecho en Alemania:
  • SoSafe es una empresa alemana con sede en Colonia.
  • Todos los datos de los clientes se almacenan en servidores alemanes o europeos.
• Principios de privacidad:
  • Nuestros servicios de concienciación se desarrollan según el principio de Privacy-by-design.
  • Solo recopilamos los datos personales que necesitamos para prestar nuestros servicios.
  • Procesamos los datos personales exclusivamente para los fines descritos.
  • Al gestionar los datos de los clientes, hemos tomado numerosas medidas técnicas y organizativas para proteger en la mayor medida posible los datos de los empleados y empleadas de nuestros clientes.
  • Solo nos asociamos con subcontratistas que han sido examinados con éxito por nuestros equipos internos de Seguridad Informática y Legal, y únicamente cuando se ha determinado que el subcontratista puede prestar los servicios mejor y de forma más fiable que nosotros.
  • Dependiendo de la finalidad de su uso, los datos personales se eliminan a petición del cliente o automáticamente una vez que expira la finalidad o finaliza el período de conservación de acuerdo con la norma DIN 66399.
• Confidencialidad:
  • Todos nuestros empleados, así como los consultores externos, están obligados a mantener la confidencialidad de conformidad con las leyes de protección de datos.
• Educación y formación:
  • Nuestros empleados reciben formación periódica sobre protección y seguridad de datos.
• Procesos:
  • Antes de recurrir a un proveedor de servicios para prestar servicios de concienciación, se realiza una revisión exhaustiva jurídica y sobre la seguridad de la información de dicho proveedor.
• Seguridad de los datos:
  • Hemos implementado un sistema de gestión de la seguridad de la información y contamos con la certificación ISO 27001:2013 desde el 20 de diciembre de 2022.
  • Los datos de los clientes en nuestro proveedor de alojamiento están cifrados en tránsito y en reposo con claves gestionadas por SoSafe.

3. Protección de datos en SoSafe

Como proveedor de servicios de concienciación sobre ciberseguridad, el tratamiento seguro y fiable de los datos de nuestros clientes es muy importante para nosotros y una parte integral de la filosofía de nuestros productos.

3.1 Ubicaciones de los servidores para el tratamiento de los datos personales

Como empresa alemana con sede en Colonia, seleccionamos proveedores de servicios que proceden, idealmente, de la UE o el EEE. Los datos de los clientes se almacenan en servidores alemanes o en servidores ubicados dentro de la UE/EEE.

3.2 Protección de datos en nuestros servicios de concienciación

A continuación, te informamos de cómo hemos implementado la protección de datos en nuestros productos.

3.2.1 ¿Qué tipos de datos personales tratamos?

Depende de qué productos utilices y de cómo los utilices. A continuación, encontrarás un resumen de las categorías de datos personales que tratamos. Encontrarás una lista detallada de todos los datos personales sujetos a tratamiento en nuestro Acuerdo de tratamiento de datos:

Campaña de phishing

Como parte de las campañas de correo electrónico de simulación de phishing, necesitamos las siguientes categorías de datos personales mientras nuestro contrato contigo siga en vigor para poder ofrecer una campaña auténtica e individualizada:

• Datos de contacto e idioma predeterminado del empleado del cliente
• Dirección de correo electrónico profesional del empleado del cliente
• Información estructural específica del cliente, por ejemplo, departamentos o equipos.
• Datos de registro de correo por motivos técnicos y de seguridad, que se eliminan después de 12 semanas.

Opcionalmente, los clientes pueden proporcionar datos maestros adicionales de los empleados del cliente (sexo y nivel académico) para que la campaña sea aún más auténtica. A petición del cliente, también se puede realizar una distribución diferenciada, basada en grupos de empleados, de acuerdo con criterios de clasificación organizativa adicionales, lo que requeriría los criterios de orden deseados.

• Si el empleado del cliente interactúa con el correo electrónico de phishing, también recopilamos algunos datos técnicos y datos de feedback opcionales, si se proporcionan.

Botón de aviso de phishing y PhishAssist

Si tu organización utiliza el botón de aviso de phishing o PhishAssist, no se tratan ningún dato personal. Si el correo correspondiente procede de la simulación, el clic se incluye en el llamado porcentaje de aviso de phishing en la evaluación. Si el correo no procede de la simulación, se reenvía a una dirección de correo electrónico definida por el cliente directamente desde el cliente de correo electrónico en uso (SoSafe no envía ni trata correos electrónicos).

Opcional: Recomendaciones y mejoras

Para que la campaña de phishing sea más eficaz y esté relacionada con los empleados del cliente y para ofrecer mejores recomendaciones de aprendizaje, a petición del cliente (opt-in) recopilamos un ID único del empleado del cliente («UUID») además de los datos de los informes. Este ID solo lo utilizamos internamente para los fines antes mencionados, pero no lo compartimos con los clientes.

Plataforma de e-learning

En relación con el uso de nuestra plataforma de e-learning, tratamos las siguientes categorías de datos personales:

• datos de registro
• datos de configuración
• datos de uso
• datos técnicos

También tratamos ciertos datos personales con fines de elaboración de informes para los clientes, parcialmente agrupados o agregados.

Registros del servidor, incluido SCORM:

Cuando un empleado del cliente interactúa con nuestras páginas de aprendizaje y aprendizaje en línea o utiliza paquetes SCORM, también recopilamos registros del servidor y los almacenamos durante un periodo de doce (12) semanas o hasta un máximo de 12 meses por motivos técnicos y de seguridad.

Inicio de sesión único

Los procedimientos de inicio de sesión único («SSO») que se ofrecen se integran, en la medida de lo técnicamente posible, como hipervínculos, de modo que los datos solo son recogidos por el proveedor respectivo cuando se utilizan. Si no fuese posible, trabajamos con una solución de consentimiento individual. La solución de SSO solo recopilará los datos si el empleado del cliente correspondiente acepta el tratamiento de los datos.

3.2.2 Privacy-by-design y by-default

Nuestros productos se desarrollan de acuerdo con los principios de privacidad desde el diseño (by-design) y por defecto (by-default) (según el artículo 25 del RGPD). En el ciclo de desarrollo del software, nuestros expertos en protección de datos ya participan en la fase de diseño de los nuevos productos. Nuestros productos también son configurables y se entregan a nuestros clientes con una configuración de privacidad estricta by-default.

3.2.3 Nuestros empleados

Todos nuestros empleados, así como los consultores externos, están obligados a la confidencialidad en materia de protección de datos. Además, nuestros empleados reciben formación periódica sobre protección y seguridad de datos.

3.2.4 Nuestros proveedores de servicios

En principio, solo recurrimos a proveedores de servicios cuando, tras un análisis exhaustivo, hemos llegado a la conclusión de que pueden prestar los servicios con una solución cualitativamente mejor y técnicamente más segura de lo que nosotros podríamos hacer con nuestros recursos.

Si llegamos a la conclusión de que necesitamos un proveedor de servicios para la prestación de los servicios de concienciación, este proveedor será revisado exhaustivamente con antelación desde una perspectiva legal y de seguridad de la información. Esto incluye, naturalmente, la celebración de los contratos necesarios, la implementación de medidas de seguridad o protección y cualquier otra garantía.

4. Seguridad de los datos con SoSafe

Según el art. 32 del RGPD, tanto tú como responsable del tratamiento como nosotros en calidad de encargados del tratamiento debemos aplicar medidas técnicas y organizativas (MTO) adecuadas para el tratamiento de datos personales que tengan en cuenta el estado de la técnica, los costes de aplicación y el riesgo para los derechos y libertades de las personas físicas, garantizando al mismo tiempo un nivel de seguridad adecuado. Como proveedor con certificación ISO 27001, también adaptamos nuestras MTO en consecuencia. Como parte de nuestro sistema de gestión de la seguridad de la información, hemos adoptado numerosas directrices de seguridad y medidas de protección técnica para proteger de la mejor manera posible tanto los datos de nuestros clientes como los nuestros propios.

La supresión de los datos se lleva a cabo según rutinas de supresión preestablecidas que se basan en los períodos de conservación legales. Siempre que no existan obligaciones legales de conservación, suprimimos los datos en cuanto dejan de ser necesarios para el fin original. Al suprimir los datos, seguimos la norma DIN 66399.

Para más información sobre la seguridad de los datos en SoSafe, consulte nuestro Informe sobre seguridad y confianza.

5. Notificación de fuga de datos

En caso de una fuga de datos personales, deben cumplirse, si procede, las obligaciones de notificación a la autoridad de control (art. 33 del RGPD), y debe notificarse a la entidad responsable y a los interesados (art. 34 del RGPD). Para ello, hemos establecido los correspondientes procesos de notificación y hemos documentado nuestros canales de notificación, incluidos los plazos. Si nuestros clientes se ven afectados, se les informa en un plazo de 72 horas desde que se tiene conocimiento de la fuga de datos.

6. Gestión de los derechos de los interesados

Las solicitudes de los interesados son procesadas por nuestro delegado de protección de datos y su equipo (en adelante, «DPO») o por los equipos internos de SoSafe, dependiendo de la naturaleza de la solicitud y del canal a través del cual se reciba. Una vez recibida, cada solicitud se revisa para determinar si SoSafe es competente para procesarla. Si la solicitud entra en el ámbito de nuestras actividades como encargado del tratamiento, se remitirá inmediatamente a la persona de contacto del cliente y prestaremos asistencia al cliente que lo solicite dentro del ámbito de nuestras posibilidades. Todas las solicitudes se tramitan en el plazo legal de un mes.

7. Contacto

La protección y la seguridad de los datos deben estar siempre presentes tanto en el desarrollo de los productos como en nuestro trabajo diario. Por ello, contamos con un sólido equipo interno.

Además de nuestro delegado de protección de datos y nuestro director de seguridad de la información, un experimentado equipo jurídico y de seguridad de la información presta asistencia en todos los asuntos relacionados con la protección de datos (privacy@sosafe.de) y la seguridad de los datos (security@sosafe.de).

8. Documentos, directrices y tratamiento de datos por encargo

El acuerdo de tratamiento de datos celebrado entre SoSafe y todos nuestros clientes cumple los requisitos del RGPD, incluye toda la información pertinente y una visión general de las medidas técnicas y organizativas adoptadas. Además, estaremos encantados de proporcionarte nuestros certificados, las evaluaciones de impacto de la transferencia (si te parecen relevantes) e información adicional. Algunas de nuestras directrices y documentos están clasificados como documentos internos. Estaremos encantados de confirmar la implementación de las medidas adoptadas, aunque te agradecemos que entiendas que no podemos compartir los documentos en sí.

Estado: enero de 2023