RGPD – Medidas de Responsabilidad Activa

Medidas de seguridad

Fecha de vigencia: Mayo 2018

1. Responsabilidad

 En Nextinit establecemos dos tipos de relaciones diferentes con nuestros clientes.

Es posible que estés utilizando esta plataforma porque te han dado un acceso; en ese caso, Nextinit no es el Responsable del tratamiento de tus datos, simplemente presta un servicio a la entidad que te haya proporcionado el acceso, y dicha prestación requiere que tratemos los datos que nos proporciones en su nombre. En resumen: somos encargados del tratamiento de tus datos. Pero no te preocupes, nuestra relación con el Responsable del tratamiento de tus datos está regulada mediante un contrato, y los trataremos con la misma diligencia que lo haríamos en caso de ser Responsables del tratamiento de los mismos.

Por otra parte puede que tu mismo te hayas registrado para probar nuestra plataforma a través de la web. En ese caso, somos Responsables del tratamiento de tus datos. ¡Continúa leyendo!

¿Quién es el Responsable del tratamiento de sus datos?
Identidad: Nextinit S.L. – CIF: B86750197
Dir. postal: Plaza Santa Maria Soledad Torres Acosta 2, 5C. 28004 Madrid – Spain.
Teléfono: +34 91 535 96 12
Correo elect: info@nextinit.com
Delegado de Protección de Datos:
Contacto DPD: gdpr@nextinit.com

 

2. ¿Con qué finalidad tratamos sus datos personales?

En Nextinit tratamos la información que nos facilitan las personas interesadas con el fin de prestarles el servicio ofrecido, mediante su autenticación para poder acceder a la plataforma (aplicación web o aplicaciones móviles) y disfrutar de sus funcionalidades. También utilizamos esta información para enviar notificaciones (vía email o notificaciones push en el caso de utilizar la app móvil) relacionadas con la plataforma. Tales comunicaciones no serán en ningún caso de carácter comercial sino, directamente relacionadas con el uso de la plataforma (nuevas ideas publicadas, nuevas inversiones, nuevos desafíos, aviso de contenidos de interés para un mejor uso de la plataforma, etc…).

NO se elabora perfiles comerciales en base a esta información.

 

3. ¿Qué datos tratamos y cómo los hemos obtenido?

Nextinit, para poder prestar el servicio ofrecido, trata los datos necesarios y no excesivos para tal fin, siendo objeto de tal tratamiento las siguientes categorías de datos de carácter personal:

  • Datos identificativos (Nombre y apellidos)
  • Datos de contacto (correo electrónico)
  • Fotografía del usuario (opcional)

Los datos personales que tratamos en Nextinit pueden proceder de varias fuentes que son las siguientes:

  • Han sido proporcionados por la empresa que ha contratado los servicios de Nextinit para sus empleados, partners, etc…
  • Han sido proporcionados por el propio usuario cuando se ha dado de alta en Nextinit.
  • Han sido proporcionados por Servicio Tercero a través de un co-registro (login social: Google+, LinkedIn, Facebook, Slack u otros servicios similares) bajo la aprobación previa del usuario.

 

3. ¿Cuál es la base legitimadora para el tratamiento?

El tratamiento de datos de los usuarios de Nextinit se basa en el consentimiento expreso del interesado, obtenido a través del registro de usuario quien para autenticarse en la plataforma debe hacer “click” en el chekbox de aceptación de la presente política de privacidad, lo que implicará que el usuario ha sido informado y ha otorgado expresamente su consentimiento al tratamiento de sus datos en base a la misma.

La no aceptación de la misma, impedirá el acceso a la plataforma.

4. ¿Por cuánto tiempo conservaremos sus datos?

Los datos personales proporcionados se conservarán mientras sean necesarios para la finalidad con la que fueron recabados, en tanto no se solicite su supresión por el interesado o hasta que se deje de hacer uso de ello porque ya el usuario o su empresa ya no utiliza la plataforma y se procede a una limpieza de la información dentro de Nextinit. Estas limpiezas no están automatizadas ni planificadas por defecto.

5. ¿A qué destinatarios se comunicarán sus datos?

Los datos serán comunicados a proveedores de Nextinit S.L. cuyos servicios son necesarios para el  correcto funcionamiento de la plataforma (almacenamiento, envío de email, etc.). En caso de que dichas empresas estén ubicadas fuera de la UE, Nextinit garantiza que las mismas están acogidas al “Privacy Shield”. A continuación, se expone el uso de datos que algunas de estas empresas hacen en nombre de Nexinit:

  • Google. Nextinit contrata su infraestructura virtual según un modelo de “computación en la nube” a través de Google. Como tal Google no tiene acceso a esta información ni puede hacer uso de ella. Los datos personales de los usuarios de Nextinit (email, nombre, apellidos y foto) están almacenados en los servidores de Google alojados en Frankfurt, Alemania. Google está acogida a “Privacy Shield”:
  • Mailchimp. En algunos casos, se mandará unos emails a los usuarios antes del aperturá de la plataforma nextinit con comunicados de formación. Así que los emails y nombre de los usuarios están cargados para cada uno de estos envíos y se borran cuando ya no son útiles (a la pocas semanas después del lanzamiento de nextinit). Mailchimp no pueden de ningún modo hacer uso de esta información. Mailchimp está acogida a “Privacy Shield”:
  • Mailgun. Nextinit utiliza los servicios de envíos de email de Mailgun. Los datos de los usuarios no se almacenan como tal dentro de Mailgun pero sí pueden aparecer en los logs del servicio para seguimiento de emails entregados, pendientes o fallados. Mailgun no pueden de ningún modo hacer uso de esta información. Mailgun está acogida a “Privacy Shield”:

En caso de una integración de Nextinit con terceros, como por ejemplo Workplace by Facebook, Yammer de Microsoft o Chatter de Salesforce, existe un flujo de información relativos a los datos personales de los empleados entre estos sistemas y nextinit. Queda totalmente fuera de nuestra responsabilidad y nuestro control el uso que se hace dentro de estos servicios e invitamos a cada usuario a consultar la Política de Privacidad de cada servicio, o a ponerse en contacto con su empresa para tener más información relativa al uso que se hace con dichos datos una vez almacenados en estos servicios empresariales.

6. ¿Cuáles son sus derechos como interesado respecto al tratamiento de sus datos?  

La normativa en materia de protección de datos, reconoce al usuario una serie de derechos, los cuales Nextinit como responsable, tiene obligación de satisfacer. Derecho a:

  • A saber si se están tratando sus datos o no.
  • A acceder a los datos personales objeto del tratamiento.
  • A solicitar la rectificación de los datos si son inexactos.
  • A solicitar la supresión de los datos si ya no son necesarios para los fines para los que fueron recogidos o si retira el consentimiento otorgado.
  • A solicitar la limitación del tratamiento de los datos, en algunos supuestos, en cuyo caso sólo se conservarán de acuerdo con la normativa vigente.
  • A revocar el consentimiento para cualquier tratamiento para el que hubiera consentido, en cualquier momento.
  • Tenida en cuenta la naturaleza de los datos recabados por Nextinit, no existe posibilidad a la portabilidad de los mismos.

La limitación de uso o la eliminación de los datos personales (en particular el email) significará un cese de utilización de la plataforma, ya que Nextinit necesita el email como identificador único de cada usuario.
El usuario podrá ejercitar sus derechos en cualquier momento mediante email dirigido a info@nextinit.com, o mediante escrito a la dirección del Responsable del tratamiento.

Para facilitar el proceso, y cumplir con el principio de exactitud de los datos, si se modifica algún dato, el Responsable agradece la comunicación de dicha modificación.

Dependiendo del derecho derecho ejercitado, Nextinit tardará como máximo un mes en dar respuesta desde la recepción de la solicitud, y dos meses si el tema es muy complejo, caso en el cual el usuario será notificado.  

En caso de considerar que el tratamiento de sus datos no se ajusta a lo dispuesto en la normativa aplicable, el interesado tendrá derecho a presentar una reclamación ante la autoridad de protección de datos competente.

7. Medidas de seguridad

El nuevo reglamento exige que tanto el responsable como el encargado del tratamiento sean capaces de implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos personales que deban protegerse. Asimismo, no solo se deben adoptar medidas adecuadas sino que deberá acreditarlo en cualquier momento.

Entre las medidas de seguridad que propone el nuevo reglamento están:

    – La seudonimización y el cifrado de datos personales para dificultar o evitar de forma irreversible la identificación de los afectados.

    – La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento.

    – La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

    – Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

  1. Medidas de cifrado

   Server-Side Encryption

   Google Cloud Datastore cifra automáticamente todos los datos antes de que se escriban en el disco. No se requiere ninguna configuración o setup y no es necesario modificar la forma en que se accede al servicio. Los datos se descifran de forma automática y transparente cuando son leídos por un usuario autorizado.Con el cifrado del lado del servidor, Google administra las claves criptográficas en nuestro nombre utilizando los mismos sistemas de administración de claves endurecidos que utilizan para sus propios datos encriptados, incluidos controles de acceso y auditoría estrictos. Los datos y metadatos de cada objeto del Cloud Datastore están encriptados bajo el Estándar de cifrado avanzado y cada clave de encriptación está encriptada con un conjunto de claves maestras cambiadas con regularidad.Se puede encontrar toda la información técnica relativa al nivel de encriptación de los datos en estas páginas públicas de Google:

       https://cloud.google.com/security/encryption-at-rest/default-encryption/

       https://cloud.google.com/security/encryption-at-rest/default-encryption/resources/encryption-whitepaper.pdf

Google actualiza regularmente la información relativa a la encriptación de los datos almacenados en sus datastore en esta página, donde también está disponible más información técnia.

       https://cloud.google.com/datastore/docs/concepts/encryption-at-rest?authuser=1

   Seguridad en las comunicaciones

Para proteger los datos mientras viajan por internet, usamos una conexión vía HTTPS. El certificado está emitido por la entidad oficial Gandi (https://www.gandi.net/ ).

  1. Garantías de los sistemas y servicios de tratamiento.

Nextinit está alojada al 100% en las infraestructura de Google: Google Cloud Platform y cómo tal podemos garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de nuestros sistemas y servicios de tratamiento porque son los mismos que los de Google.

El modelo de seguridad de Google es un proceso integral cimentado en los 15 años que lleva la empresa protegiendo la seguridad de sus clientes en aplicaciones como Gmail, la Búsqueda y muchas más. En Google Cloud Platform, nuestra aplicación, nextinit, y los datos que aloja disfrutan de las ventajas de este mismo modelo de seguridad. Para obtener más información sobre el modelo de seguridad de Google, se recomienda leer el siguiente documento:

   https://cloud.google.com/security/whitepaper

Equipo de seguridad de la información

   En el núcleo del modelo de seguridad de Google se encuentra el equipo de seguridad de Google de la información, compuesto por más de 500 grandes expertos en seguridad de la información, aplicaciones y redes. Este equipo se encarga de mantener los sistemas de defensa de Google, desarrollar los procesos de revisión de la seguridad, crear la infraestructura de seguridad e implementar las políticas de seguridad de Google. Entre sus numerosos logros cabe destacar la detección de la vulnerabilidad Heartbleed, la creación de un programa de recompensas por informar sobre problemas de seguridad de software y la adopción de una política para usar SSL de forma predeterminada en Google.Más detalles sobre el equipo de seguridad de la información de Google

Seguridad física de los centros de datos

En los centros de datos de Google se sigue un modelo de seguridad por capas que incluye medidas como tarjetas de acceso electrónicas con un diseño personalizado, alarmas, barreras en los accesos para vehículos, vallas circundantes, detectores de metales y autenticación biométrica. El suelo de los centros de datos está protegido por un sistema de detección de intrusos con rayos láser.Los centros de datos están vigilados las 24 horas con cámaras interiores y exteriores de alta resolución que detectan y siguen a los posibles intrusos. Si se produce un incidente, es posible consultar los registros de acceso, los informes de actividad y las imágenes de las cámaras. Además, los centros de datos disponen de guardias de seguridad experimentados que han superado rigurosas comprobaciones de antecedentes y han recibido la formación adecuada para patrullar las instalaciones de forma regular. Menos del 1% de los Googlers pisarán uno de nuestros centros de datos durante su paso por la empresa.Más información sobre la seguridad física de los centros de datos

Seguridad de los servidores y la pila de software

   En Google se ejecutan decenas de miles de servidores idénticos que se han diseñado expresamente para la empresa. Hemos tenido la seguridad muy presente a la hora de desarrollarlo todo, desde el hardware hasta la red y la pila de software Linux personalizada. La homogeneidad, unida al hecho de que toda la pila sea propiedad de Google, reduce en gran medida nuestra infraestructura física de seguridad y nos permite reaccionar a las amenazas con mayor rapidez.Más información sobre la seguridad de los servidores y la pila de software.

Acceso a los datos

   Google dispone de controles y prácticas destinados a proteger la seguridad de la información de los clientes. Las capas de la aplicación y la pila de almacenamiento de Google requieren que las solicitudes procedentes de otros componentes se autentiquen y reciban la autorización pertinente. También se controla el acceso a los entornos de producción por parte de los ingenieros administrativos de las aplicaciones de producción. Se utiliza un grupo centralizado y un sistema de gestión de funciones para definir y controlar el acceso de los ingenieros a los servicios de producción mediante un protocolo de seguridad que los autentica con certificados personales de clave pública de corta duración. Además, la emisión de los certificados personales está protegida por una autenticación de dos factores.Más información sobre el acceso a los datos

Eliminación de datos

Cuando se retiran de los sistemas de Google, los discos duros que contienen información de los clientes se someten a un proceso de destrucción de datos antes de abandonar las instalaciones. En primer lugar, el personal autorizado realiza la eliminación lógica del contenido de los discos según el proceso que haya aprobado el equipo de seguridad de Google. Después, otra persona autorizada inspecciona por segunda vez el disco para confirmar que los datos se han eliminado con éxito. Los resultados de estos procesos de borrado se registran con el número de serie de la unidad para fines de seguimiento. Por último, la unidad borrada se guarda en el inventario para volver a utilizarse e instalarse. Si el disco no puede borrarse debido a un fallo de hardware, se almacena en lugar seguro hasta que pueda destruirse físicamente. Todas las instalaciones se auditan semanalmente para garantizar que cumplan con la política de borrado de discos.Más información sobre la eliminación de datos

Características de seguridad de Cloud Platform

En todos los productos de Google, incluido Cloud Platform, la seguridad es una parte fundamental del diseño y un requisito durante el desarrollo. Además, los equipos de ingenieros de fiabilidad del sitio de Google supervisan las operaciones de los sistemas de la plataforma para garantizar una alta disponibilidad y evitar el uso inadecuado de sus recursos. Las características de seguridad específicas se detallan en la documentación de cada producto, pero todos incluyen determinadas capacidades que abarcan toda la plataforma.

APIs de servicio seguro y acceso autenticado

Todos los servicios se gestionan mediante una infraestructura de pasarela de API global segura. A esta infraestructura de API solo puede accederse a través de canales SSL / TLS encriptados, y para realizar cualquier solicitud es necesario introducir secretos privados basados en claves o un token de autenticación de duración limitada que se genera en un inicio de sesión humano.Cualquier acceso a los recursos de Google Cloud Platform se regula mediante la misma infraestructura de autenticación sólida que utilizan otros servicios de Google. Esto significa que es posible usar cuentas de Google ya creadas o configurar un dominio gestionado de Google regulado. A la hora de administrar usuarios, tenemos a nuestra disposición diferentes opciones: política de contraseñas, autenticación de dos factores obligatoria y una innovación en autenticación como son las claves de seguridad del hardware.

Registro

Registramos todas las solicitudes de API de la plataforma, como las solicitudes web y el acceso a los segmentos de almacenamiento y a las cuentas de usuario. Gracias a las herramientas de Cloud Platform, podemos leer operaciones y registros de acceso de Compute Engine, App Engine, BigQuery, Cloud SQL, Deployment Manager, Cloud VPN y Cloud Storage.

Cifrado de datos

En los servicios de Cloud Platform siempre se cifra el contenido de los clientes que se almacena en reposo, sin que estos tengan que realizar ninguna acción. Para ello, se utilizan uno o varios mecanismos de cifrado, con algunas excepciones poco significativas. Por ejemplo, los datos nuevos que se almacenan en discos persistentes se cifran según el estándar de encriptado avanzado de 256 bits, y cada clave de cifrado se cifra a su vez con un conjunto de claves maestras que va rotando de forma periódica. Para los datos de nextinit (y sus clientes) se usa el mismo cifrado y políticas de administración de claves, bibliotecas criptográficas y “roots” de confianza que se utilizan para muchos de los servicios de producción de Google, como Gmail, y para los propios datos corporativos de Google.Más información sobre las opciones de cifrado

Red global segura

TAl estar conectada a la mayoría de proveedores de Internet del mundo, la red global de Google ayuda a mejorar la seguridad de los datos en tránsito, ya que limita los saltos por la Red pública. Gracias a Cloud Interconnect y a la VPN administrada, se puede crear canales encriptados entre el entorno de IP privada de nuestras instalaciones y la red de Google. De esta forma, las instancias están totalmente desconectadas de la Red pública, pero podemos utilizarlas desde nuestra propia infraestructura privada.

Análisis de seguridad

Cloud Security Scanner ayuda a los desarrolladores de App Engine a identificar en sus aplicaciones web las vulnerabilidades más habituales, en particular el cross-site scripting (XSS) y el contenido mixto.

Cumplimiento y certificaciones

Cloud Platform y la infraestructura de Google han obtenido certificaciones de diversos estándares y controles de cumplimiento, cuyo número no para de aumentar. Además, se someten a diferentes auditorías de terceros independientes que comprueban la seguridad, protección y privacidad de los datos. Puedes obtener más información sobre cada una de las certificaciones en nuestra página sobre cumplimiento.

Google se compromete a cumplir con su parte de responsabilidad a la hora de mantener la seguridad de los proyectos que alojan, pero se trata de una responsabilidad compartida. Para lograrlo, nos ofrecen diversas funciones, que detallamos a continuación.

 

13. Parches del sistema operativo y la aplicación

Google se encarga de mantener la seguridad y los parches de los entornos del sistema operativo de alojamiento.

14. Administración de usuarios y credenciales en la infraestructura

Google Cloud Platform nos permite definir permisos de usuarios en el proyecto para que los miembros del equipo puedan disponer de accesos con privilegios mínimos.

15. Administración de usuarios y credenciales en la aplicación

Nextinit permite definir varios tipos de usuarios con permisos distintos. Los usuarios sólo tendrán acceso a los nextinits donde ha sido dado de alta y de ninguna manera en los nextinits de otros clientes.

Los 3 tipos de usuarios de nextinit son los siguientes:

  • Usuario básico con acceso a la parte pública.
  • Usuario del grupo de innovación con acceso a la parte pública pero con permisos adicionales para la gestión de las ideas, desafíos, etc.
  • Usuario de administración que además de los accesos anteriores tiene acceso a la administración de su propio nextinit para la configuración de los datos de su nextinit, los datos personales de los usuarios de su nextinit, las ideas y desafíos de su nextinit.

Existe una cuarto perfil de usuario, llamado super usuario quién tiene acceso a una interfaz de administración de todos los nextinits y puede en caso de necesidad configurar o restablecer ciertos parámetros de cualquier nextinit. Este super administrador sólo pertenece a nextinit y no está compartido con ningún cliente o partner.

16. Mantenimiento de las reglas de cortafuegos de la red

Desde Nextinit se encarga anualmente una evaluación de la seguridad de la infraestructura de Cloud Platform así cómo de nuestros softwares con pruebas de penetración (Pen test de tipo Black box). Estas evaluaciones son encargadas a empresas externas independientes y los resultados pueden ser proporcionados a nuestros clientes bajo demanda.

Además nuestros clientes tienen la posibilidad de realizar estas mismas pruebas por cuenta propio, algo que ya han realizado clientes como Vodafone o BBVA, dando un informe positivo como resultado de dichas pruebas.

17. Registro y supervisión

Cloud Platform nos ofrece herramientas como Google Cloud Logging y Google Cloud Monitoring para que nos resulte más fácil recopilar y analizar los registros de solicitudes, así como supervisar la disponibilidad de los servicios de nuestra infraestructura (por ejemplo, las instancias de máquina virtual). Estas herramientas también nos ayudan a crear paneles de control personalizados y configurar alertas para cuando surjan problemas.

18. Auditorías independientes de infraestructura, servicios y operaciones

Los clientes de Google (nosotros) y los organismos reguladores esperan que se realice una verificación independiente de los controles de seguridad, privacidad y cumplimiento. Para estar a la altura de estas expectativas, Google se somete regularmente a diversas auditorías de terceros independientes. Esto significa que un auditor independiente ha examinado los controles de nuestros centros de datos, nuestra infraestructura y nuestras operaciones. En Google se realizan auditorías anuales de los siguientes estándares:

   SSAE16 / ISAE 3402 tipo II:

  • SOC 2
  • Informe de la auditoría pública SOC 3

ISO 27001: uno de los estándares de seguridad independientes con mayor prestigio y aceptación internacional. Google ha obtenido la certificación ISO 27001 para los sistemas, las aplicaciones, las personas, la tecnología, los procesos y los centros de datos que utiliza Google Cloud Platform. Aquí encontrarás nuestro certificado ISO 27001.

ISO 27017 (seguridad en la nube): estándar internacional de prácticas relacionadas con los controles de seguridad de la información. Se basa en el estándar ISO / IEC 27002 y se centra especialmente en los servicios en la nube. Aquí encontrarás nuestro certificado ISO 27017.

ISO 27018 (privacidad en la nube): estándar internacional de prácticas relacionadas con la protección de datos de identificación personal en los servicios de nubes públicas. Aquí encontrarás nuestro certificado ISO 27018.

   Autorización para operar de FedRAMP para Google App Engine.

   PCI DSS v3.1.

Google sigue un enfoque de auditorías de terceros diseñado para ser lo más exhaustivo posible, a fin de garantizar el nivel adecuado de seguridad de la información en términos de confidencialidad, integridad y disponibilidad. Los clientes pueden usar estas auditorías de terceros para valorar si los productos de Google satisfacen sus necesidades de cumplimiento y procesamiento de datos.

  1. Backup y restauración de los datos

De forma diaria, se hace un backup global de todos los datos de nextinit así como un backup para cada cliente (nextinit enterprise). Estos ficheros cifrados por Google se almacenan en los servidores de Google para poder ser usado a posteriori para restaurar la estructura completa o sólo un nextinit en concreto.

Nuestro protocolo de seguridad nos obliga a probar cada semana que los backup se han realizado de forma correcta y cada mes verificamos con un nextinit de prueba que se puede restaurar sin pérdida de información gracias a uno de estos backup individual.

Más información sobre la realización de los backups y la restauración