Otros
      Volver al inicio
      1. Base de conocimientos
      2. Otros

      Protección de datos

      La aplicación de software de Sensorfact está basada en la nube. Toda nuestra infraestructura informática está alojada en AWS, utilizando la región eu-west-1 (Irlanda) para los despliegues, que está sujeta a la normativa de la UE. Nuestras soluciones de software se desarrollan dentro de nuestro equipo de ingeniería, y no empleamos soluciones de terceros aparte de los servicios nativos ofrecidos por AWS y los sistemas de almacenamiento distribuido para nuestra plataforma de mediciones de tiempo y streaming.

      Autenticación y autorización

      Podemos distinguir entre acceso de clientes:

      • Los clientes pueden acceder al portal web de Sensorfact con sus credenciales de usuario y contraseña.
      • El equipo de Onboarding de Sensorfact crea cuentas con un mínimo de información personal (nombre, dirección de correo electrónico y, potencialmente, número de teléfono para alertas).
      • Las contraseñas no se renuevan automáticamente.
      • La autenticación MFA estará disponible a partir del tercer trimestre de 2024.

      Además, los empleados de Sensorfact tienen acceso a los datos de los clientes siguiendo los siguientes principios:

      • El acceso a los datos de los clientes por parte de departamentos distintos del de Ingeniería está restringido al personal que interactúa con el cliente.
      • Los ingenieros que participan en las rotaciones de asistencia tienen acceso a todos los datos del cliente, incluidos los de producción, para depurar y solucionar posibles problemas.
      • Utilizamos PoLP como principio fundamental, y todo el acceso a la infraestructura y a las herramientas de codificación se realiza mediante MFA y detrás de una VPN.
      • Se utiliza la autenticación basada en roles.

      Gestión de datos

      Algunos de los aspectos clave a tener en cuenta en relación con la gestión de datos:

      • Todas las interfaces públicas están cifradas (TLS 1.3)
      • Los datos no se cifran en reposo.
      • Los datos de los clientes están lógicamente separados de otros datos de clientes.
      • Los datos de los sensores y de los usuarios/clientes (metadatos) se almacenan físicamente por separado.
      • Copias de seguridad: copias de seguridad diarias con un tiempo de retención ilimitado.
      • Los datos personales del cliente se eliminarán a la finalización del contrato siguiendo las directrices del GDPR.

      Sensorfact dispone de un plan de recuperación en caso de catástrofe que cubre todos los servicios críticos y se comprueba periódicamente (al menos dos veces al año).

      Plan de respuesta a incidentes

      El plan de respuesta ante violaciones de datos e incidentes de seguridad forma parte del plan de respuesta global ante problemas de producción e incluye la comunicación a los clientes afectados con una descripción clara del impacto y cómo se ha resuelto.

      Se establecen rotaciones de soporte de ingeniería de plataformas e IoT para poder responder con rapidez a cualquier problema de producción que pudiera producirse durante el horario laboral.

      Medida proactiva

      Con una frecuencia anual, realizamos pruebas de penetración y auditorías de seguridad de la infraestructura, seguidas de un plan de acción para resolver los hallazgos en función de la gravedad. Los hallazgos críticos se abordan de inmediato, y los de menor impacto se incluyen en la hoja de ruta del producto para abordarlos a lo largo del año.