Política de violación de datos
Introducción
Esta política y plan tiene como objetivo ayudar a Water2buy a gestionar las filtraciones de datos personales de manera eficaz. Water2buy conserva datos personales sobre nuestros usuarios, empleados, clientes, proveedores y otras personas para una variedad de fines comerciales.
Water2buy está comprometido no solo con la letra de la ley, sino también con el espíritu de la ley y otorga una gran importancia al manejo correcto, legal y justo de todos los Datos personales, respetando los derechos legales, la privacidad y la confianza de todos. individuos con los que trata.
Una violación de datos generalmente se refiere al acceso no autorizado y la recuperación de información que puede incluir datos corporativos y/o personales. Las violaciones de datos generalmente se reconocen como una de las fallas de seguridad más costosas de las organizaciones. Podrían generar pérdidas financieras y hacer que los consumidores pierdan la confianza en Water2buy o en nuestros clientes.
Las reglamentaciones de las distintas jurisdicciones en las que opera Water2buy exigen que Water2buy adopte medidas de seguridad razonables para proteger los datos personales que poseemos o controlamos, para evitar el acceso, la recopilación, el uso, la divulgación o riesgos similares no autorizados.
Alcance
Esta política se aplica a todo el personal. Debe estar familiarizado con esta política y cumplir con sus términos. Esta política complementa nuestras otras políticas relacionadas con el uso de Internet y correo electrónico. Es posible que complementemos o enmendemos esta política con políticas y pautas adicionales de vez en cuando. Cualquier política nueva o modificada se distribuirá al personal antes de ser adoptada.
Entrenamiento
Todo el personal recibirá capacitación sobre esta política. El nuevo personal recibirá capacitación como parte del proceso de inducción. Se proporcionará capacitación adicional al menos cada año o siempre que haya un cambio sustancial en la ley o en nuestra política y procedimiento.
La capacitación se brinda a través de un seminario interno y capacitación en línea anualmente, y cubre las leyes aplicables relacionadas con la protección de datos y la protección de datos de Water2buy y las políticas y procedimientos relacionados.
La finalización de la formación es obligatoria.
REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UE (UE) 2016/679 (GDPR)
La regulación también se aplica a organizaciones con sede fuera de la Unión Europea si recopilan o procesan datos personales de residentes de la UE.
Según la Comisión Europea, Datos Personales es: “cualquier información relacionada con un individuo, ya sea relacionada con su vida privada, profesional o pública. Puede ser cualquier cosa, desde un nombre, una dirección particular, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o la dirección IP de una computadora. ”
Datos personales
Water2buy define Datos personales como la más amplia de las definiciones contenidas en el RGPD.
Water2buy define Datos personales confidenciales como la más amplia de las definiciones contenidas en el RGPD.
Cualquier uso de datos personales confidenciales debe controlarse estrictamente de acuerdo con esta política.
Si bien algunos datos siempre se relacionarán con un individuo, es posible que otros datos, por sí solos, no se relacionen con un individuo. Dichos datos no constituirían Datos Personales a menos que estén asociados o relacionados con un individuo en particular.
La información genérica que no se relaciona con un individuo en particular también puede formar parte de los Datos personales de un individuo cuando se combina con Datos personales u otra información para permitir que se identifique a un individuo.
Los datos agregados no son datos personales.
Water2buy recopila datos personales con dos propósitos, para identificar y proteger los datos que nos brindan nuestros clientes y para operaciones internas.
Los datos personales para el asesoramiento en salud se relacionan con usuarios individuales identificables y pueden incluir:
- Información del perfil de usuario, como nombre completo, dirección, número de teléfono móvil y dirección de correo electrónico personal;
- Mensajes entre usuarios y nuestro servicio de atención al cliente.
Los datos personales que recopilamos para fines operativos internos se relacionan con personas identificables, como solicitantes de empleo, empleados actuales y anteriores, personal contratado y de otro tipo, clientes, proveedores y contactos de marketing, y los datos recopilados pueden incluir detalles de contacto de personas, educación antecedentes, detalles financieros y salariales, detalles de certificados y diplomas, educación y habilidades, estado civil, nacionalidad, cargo y CV.
Causas
Las violaciones de datos pueden ser causadas por empleados, partes externas a la organización o errores del sistema informático.
Error humano
Las causas del error humano incluyen:
- Pérdida de dispositivos informáticos (portátiles o de otro tipo), dispositivos de almacenamiento de datos o registros en papel que contengan datos personales
- Divulgación de datos a un destinatario incorrecto
- Manejar datos de forma no autorizada (p. ej., descargar una copia local de datos personales)
- Acceso no autorizado o divulgación de datos personales por parte de los empleados (p. ej., compartir un inicio de sesión)
- Eliminación inadecuada de datos personales (p. ej.: disco duro, medios de almacenamiento o documentos en papel que contienen datos personales vendidos o descartados antes de que los datos se eliminen correctamente)
Actividades maliciosas
Las causas maliciosas incluyen:
- Incidentes de piratería / Acceso ilegal a bases de datos que contienen datos personales
- Hackeo para acceder a datos no autorizados a través de la aplicación de entrenamiento o la API
- Robo de dispositivos informáticos (portátiles o de otro tipo), dispositivos de almacenamiento de datos o registros en papel que contengan datos personales
- Estafas que engañan al personal de Water2buy para que divulgue datos personales de personas
Error del sistema informático
Las causas del error del sistema informático incluyen:
- Errores o fallos en la aplicación o API de Water2buy
- Fallo de los servicios en la nube, computación en la nube o sistemas de seguridad/autenticación/autorización de almacenamiento en la nube
Informes de infracciones
Todos los miembros del personal tienen la obligación de informar fallas reales o potenciales en el cumplimiento de la protección de datos. Esto nos permite:
- Investigue la falla y tome medidas correctivas si es necesario
- Mantener un registro de fallas de cumplimiento
- Notificar a la Autoridad de Supervisión cualquier falla de cumplimiento que sea material por derecho propio o como parte de un patrón de fallas
Según el RGPD, el RPD está legalmente obligado a notificar a la Autoridad de Supervisión dentro de las 72 horas de la violación de datos (Artículo 33). Las personas deben ser notificadas si se determina un impacto adverso (artículo 34). Además, Water2buy debe notificar a los clientes afectados sin demora indebida después de tener conocimiento de una violación de datos personales (artículo 33).
Sin embargo, Water2buy no tiene que notificar a los interesados si se violan los datos anónimos. En concreto, no es necesaria la notificación a los interesados si el responsable del tratamiento ha implementado técnicas de seudoanonimización como el cifrado junto con medidas técnicas y organizativas de protección adecuadas a los datos personales afectados por la violación de datos (artículo 34).
Violación de datos
Se debe alertar de inmediato al equipo de violación de datos de cualquier violación de datos confirmada o sospechada.
La notificación debe incluir la siguiente información, cuando esté disponible:
- Alcance de la violación de datos
- Tipo y volumen de datos personales involucrados
- Causa o presunta causa de la infracción
- Si se ha rectificado la infracción
- Medidas y procesos que la organización había puesto en marcha en el momento de la infracción
- Información sobre si se notificó a las personas afectadas por la violación de datos y, de no ser así, cuándo tiene intención de hacerlo la organización
- Datos de contacto del personal de Water2buy con quien la autoridad de control puede comunicarse para obtener más información o aclaraciones
Cuando aún no se disponga de información específica sobre la filtración de datos, Water2buy debe enviar una notificación provisional que incluya una breve descripción del incidente.
Las notificaciones realizadas por organizaciones o la falta de notificación, así como si las organizaciones cuentan con procedimientos de recuperación adecuados, afectarán las decisiones de las autoridades supervisoras sobre si una organización ha protegido razonablemente los datos personales bajo su control o posesión.
Responder a una filtración de datos
PLAN DE GESTIÓN DE VIOLACIÓN DE DATOS
Al ser notificado de una filtración de datos (presunta o confirmada), el equipo de filtración de datos debe activar inmediatamente el plan de respuesta y filtración de datos.
El plan de respuesta y gestión de filtraciones de datos de Water2buy es:
- Confirmar la Infracción
- Contener la brecha
- Evaluar los riesgos y el impacto
- Reportar el incidente
- Evaluar la respuesta y la recuperación para prevenir futuras infracciones
CONFIRMAR LA INCUMPLIMIENTO
El equipo de violación de datos (DBT) debe actuar tan pronto como tenga conocimiento de una violación de datos. Siempre que sea posible, primero debe confirmar que se ha producido la violación de datos. Puede tener sentido que el DBT proceda a Contener la violación sobre la base de una violación de datos informada no confirmada, según la probabilidad de la gravedad del riesgo.
CONTENER LA INCUMPLIMIENTO
El DBT debe considerar las siguientes medidas para contener la infracción, cuando corresponda:
- Apague el sistema comprometido que condujo a la violación de datos.
- Establezca si se pueden tomar medidas para recuperar los datos perdidos y limitar cualquier daño causado por la infracción. (por ejemplo: deshabilitar / borrar de forma remota un cuaderno perdido que contiene datos personales de personas. )
- Evitar más accesos no autorizados al sistema.
- Restablecer contraseñas si las cuentas y/o contraseñas se han visto comprometidas.
- Aísle las causas de la violación de datos en el sistema y, cuando corresponda, cambie los derechos de acceso al sistema comprometido y elimine las conexiones externas al sistema.
EVALUAR RIESGOS E IMPACTO
Conocer los riesgos y el impacto de las filtraciones de datos ayudará a Water2buy a determinar si podría haber consecuencias graves para las personas afectadas, así como los pasos necesarios para notificar a las personas afectadas.
Riesgo e impacto en las personas
- ¿Cuántas personas se vieron afectadas?
Un número más alto puede no significar un mayor riesgo, pero evaluar esto ayuda a la evaluación general del riesgo. - ¿Los datos personales de quién se han violado?
¿Los datos personales pertenecen a empleados, clientes o menores? Diferentes personas enfrentarán diferentes niveles de riesgo como resultado de una pérdida de datos personales. - ¿Qué tipos de datos personales estaban involucrados?
Esto ayudará a determinar si existe un riesgo para la reputación, el robo de identidad, la seguridad o la pérdida financiera de las personas afectadas. - ¿Existen medidas adicionales para minimizar el impacto de una filtración de datos? por ejemplo: un dispositivo extraviado protegido por una contraseña fuerte o cifrado podría reducir el impacto de una violación de datos.
Riesgo e impacto en las organizaciones
- ¿Qué causó la violación de datos?
Determinar cómo ocurrió la violación (a través de robo, accidente, acceso no autorizado, etc.) ) ayudarán a identificar los pasos inmediatos a seguir para contener la infracción y restaurar la confianza del público en un producto o servicio. - ¿Cuándo y con qué frecuencia ocurrió la infracción?
Examinar esto ayudará a Water2buy a comprender mejor la naturaleza de la infracción (p. gramo maliciosa o accidental). - ¿Quién podría obtener acceso a los datos personales comprometidos?
Esto determinará cómo se podrían usar los datos comprometidos. En particular, las personas afectadas deben ser notificadas si los datos personales son adquiridos por una persona no autorizada. - ¿Los datos comprometidos afectarán las transacciones con otros terceros?
Determinar esto ayudará a identificar si es necesario notificar a otras organizaciones.
INFORMAR EL INCIDENTE
Water2buy tiene la obligación legal de notificar a las personas afectadas si sus datos personales han sido violados. Esto alentará a las personas a tomar medidas preventivas para reducir el impacto de la filtración de datos y también ayudará a Water2buy a recuperar la confianza del consumidor.
A quién notificar:
- Notificar a las personas cuyos datos personales se han visto comprometidos.
- Notifique a otros terceros, como bancos, compañías de tarjetas de crédito o la policía, cuando corresponda.
- Notificar GDPR especialmente si una violación de datos involucra datos personales confidenciales.
- Se debe notificar a las autoridades pertinentes (p. ej., la policía) si se sospecha de actividad delictiva y se deben conservar las pruebas para la investigación (p. ej., piratería informática, robo o acceso no autorizado al sistema por parte de un empleado). )
Cuándo notificar:
- Notifique a las personas afectadas de inmediato si una violación de datos involucra datos personales confidenciales. Esto les permite tomar las medidas necesarias con anticipación para evitar posibles abusos de los datos comprometidos.
- Notificar a las personas afectadas cuando se resuelva la violación de datos
Cómo notificar:
- Utilice las formas más efectivas de comunicarse con las personas afectadas, teniendo en cuenta la urgencia de la situación y la cantidad de personas afectadas (p. gramo comunicados de prensa, redes sociales, mensajería móvil, SMS, correos electrónicos, llamadas telefónicas).
- Las notificaciones deben ser fáciles de entender, específicas y brindar instrucciones claras sobre lo que las personas pueden hacer para protegerse.
Qué notificar:
- Cómo y cuándo ocurrió la filtración de datos y los tipos de datos personales involucrados en la filtración de datos.
- Qué ha hecho o hará Water2buy en respuesta a los riesgos provocados por la filtración de datos.
- Datos específicos sobre la filtración de datos, cuando corresponda, y las acciones que las personas pueden tomar para evitar el uso indebido o el abuso de esos datos.
- Datos de contacto y cómo las personas afectadas pueden comunicarse con la organización para obtener más información o asistencia (p. gramo números de teléfono de ayuda, direcciones de correo electrónico o sitio web).
EVALUAR LA RESPUESTA Y LA RECUPERACIÓN PARA PREVENIR FUTURAS INCUMPLIMIENTOS
Después de que se hayan tomado medidas para resolver la violación de datos, Water2buy debe revisar la causa de la violación y evaluar si las medidas y los procesos de protección y prevención existentes son suficientes para evitar que ocurran violaciones similares y, cuando corresponda, poner fin a las prácticas que condujo a la violación de datos.
Cuestiones operativas y relacionadas con políticas:
- ¿Se realizaron auditorías con regularidad sobre las medidas de seguridad tanto físicas como relacionadas con TI?
- ¿Existen procesos que puedan simplificarse o introducirse para limitar el daño si se producen futuras infracciones o para evitar una recaída?
- ¿Hubo debilidades en las medidas de seguridad existentes, como el uso de software y medidas de protección obsoletas, o debilidades en el uso de dispositivos portátiles de almacenamiento, redes o conectividad a Internet?
- ¿Fueron los métodos para acceder y transmitir datos personales lo suficientemente seguros, por ejemplo: acceso limitado solo al personal autorizado?
- ¿Deberían mejorarse los servicios de soporte de partes externas, como proveedores y socios, para proteger mejor los datos personales?
- ¿Se definieron claramente las responsabilidades de los proveedores y socios en relación con el manejo de datos personales?
- ¿Existe la necesidad de desarrollar nuevos escenarios de violación de datos?
Problemas relacionados con los recursos:
- ¿Se asignaron suficientes recursos para gestionar la violación de datos?
- ¿Deberían contratarse recursos externos para gestionar mejor tales incidentes?
- ¿Se proporcionó al personal clave recursos suficientes para gestionar el incidente?
Asuntos relacionados con los empleados:
- ¿Estaban los empleados al tanto de los problemas relacionados con la seguridad?
- ¿Se brindó capacitación sobre asuntos de protección de datos personales y habilidades de gestión de incidentes?
- ¿Se informó a los empleados sobre la violación de datos y los puntos de aprendizaje del incidente?
Cuestiones relacionadas con la gestión:
- ¿Cómo estuvo involucrada la gerencia en la gestión de la violación de datos?
- ¿Hubo una línea clara de responsabilidad y comunicación durante la gestión de la filtración de datos?
Supervisión
Todos deben observar esta política.
Consecuencias del incumplimiento
Nos tomamos muy en serio el cumplimiento de esta política. El incumplimiento pone en riesgo tanto a usted como a la organización.
La importancia de esta política significa que el incumplimiento de cualquier requisito puede dar lugar a medidas disciplinarias conforme a nuestros procedimientos, lo que puede resultar en el despido.