Política de seguridad
Visión general
En VoIPstudio consideramos que los datos de nuestros clientes son un activo que nos han confiado, que requiere que VoIPstudio trate cada elemento con un alto nivel de seguridad. Consideramos que cada dato del cliente tiene el mismo nivel de privacidad y bajo esa premisa hemos diseñado nuestro entorno de seguridad.
Seguridad interna y de recursos humanos
Todos nuestros empleados se adhieren a un proceso de seguridad definido por la compañía y a auditorías que nos aseguran la integridad de todas nuestras cuentas. Nuestra página está protegida por McAfee. También tenemos una política de privacidad exhaustiva, disponible y accesible para su lectura en nuestra página web. Realizamos controles de seguridad mensuales y auditorías de nuestra infraestructura para el cumplimento de la PCI (Payment Card Industry Compliance), que se realizan por auditores externos. Realizamos contínuamente pruebas contra amenazas y ataques, con el fin de detectar cualquier vulnerabilidad de seguridad en los procesos de pago, para evitar ransomware y otras amenazas.
Además, VoIPstudio está certificado por el Defensor del Pueblo de Reino Unido, bajo la Oficina del Comisionado de Información. También cumple los requerimientos de la Regulación General de Protección de datos de la UE (GDPR), lo que significa que nuestros clientes pueden estar seguros de que adoptamos y cumplimos no solo los requerimientos actuales, sino también los cambios normativos según se producen. VoIPstudio sigue los siguientes estándares y procedimientos de monitorización de seguridad y cumplimiento de la normativa:
Procedimientos y estándares de seguridad de la organización definidos y documentados.
Todos los empleados y proveedores han de firmar un contrato de confidencialidad.
Verificación de antecedentes de todos los empleados que tienen acceso a datos de clientes.
Acceso restringido sólo a aquellos empleados que necesitan manejar datos de clientes o que gestionan servidores que alojan datos de clientes.
Proceso para eliminar el acceso a datos de clientes de cualquier empleado o proveedor que abandona la compañía o que no ya no necesita acceder a ellos. El acceso se elimina antes de 24 horas desde que termina la relación o se reasigna al empleado o contratista.
Continua formación del personal en todas las políticas de seguridad y concienciación de seguridad general.
Centros de datos, encriptación y alojamiento
En términos de seguridad, nuestras llamadas enrutan a través de nuestros tres centros de datos: Reino Unido, Estados Unidos y Japón. Todos los centros de datos tienen la certificación ISO 27001, que asegura los mayores estándares de seguridad de datos posibles. Todos nuestros dispositivos de almacenamiento físico emplean los más altos estándares de encriptación de datos, usando AES-256 para la encriptación de los datos. También usamos señalización SIP encriptada con TLS y ZRTP para flujos de voz encriptados (sólo llamadas bajo WebRTC). La seguridad física de nuestros centros de datos que alojan información de clientes cumple los siguientes requisitos:
Los habitáculos están protegidos por al menos dos mecanismos de acceso (por ejemplo: tarjeta de acceso, puertas dobles, guardas de seguridad e identificación en la sala de ordenadores).
Sólo empleados autorizados tienen acceso físico a los servidores que tienen datos de clientes.
El proveedor mantiene seguridad 24 horas al día los siete días a la semana.
Todas las copias de seguridad de los datos de los clientes se almacenan en el sitio con acceso controlado o en un lugar seguro controlado por el proveedor o en una ubicación externa.
La ubicación soporta niveles adicionales de protección como alimentación ininterrumpida y control de incendios.
Los dispositivos de almacenamiento que fallan pasan, si es funcionalmente posible, por un procedimiento de borrado aprobado por el Ministerio de Defensa inglés previo a su destrucción.
Controles técnicos
VoIPstudio contiene sofisticados controles técnicos que dan protección a su red, sistemas y aplicaciones.
VoIPstudio usa un proveedor de alojamiento de alto nivel que protege los datos de clientes de amenazas externas.
VoIPstudio mantiene un registro individualizado de los empleados y proveedores que acceden a sistemas con datos de clientes. VoIPstudio tiene un sistema documentado de gestión de credenciales de usuario para estos empleados y proveedores.
VoIPstudio asegura que cada acceso individual a datos de cliente es controlado (por ejemplo, con un nombre de usuario y contraseña distinta para cada administrador). Los datos de cliente están compartimentalizados para prevenir un uso no autorizado a los datos de otros clientes.
Los datos se protegen por un sistema rotación de contraseñas que cambia cada 90 días.
La conectividad wireless a redes o servidores que contienen datos de cliente está protegida por mecanismos de seguridad como EAP, TTLS, TLS, or PEAP.
VoIPstudio dispone de políticas y procedimientos de seguridad formales para enfrentarse a virus, malware o amenazas relacionadas. Todos los equipos basados en Windows cuentan con software antivirus activo. Estos sistemas realizan escaneados periódicos completos automatizados y usan ficheros de firmas de virus actualizados.
Criterio de uso
Con el objetivo de proteger la confidencialidad, integridad y disponibilidad de los datos de cliente, VoIPstudio sigue los siguientes criterios de uso:
-
Se asigna un identificador (ID) único a cada usuario. Los ID de usuario y las contraseñas cumplen los siguientes requisitos:
- Los usuarios pueden cambiar su contraseña en cualquier momento.
- Las contraseñas deben tener al menos 6 caracteres de longitud.
El acceso a datos en la base de datos de VoIPstudio tienen controles basados en permisos que restringen el acceso a usuarios autorizados según determine el propietario de los datos de cliente.
Cada cambio en el estado de acceso del usuario se registra en VoIPstudio. Todos los registros son tratados como información confidencial y el acceso a estos informes puede restringirse usando el sistema de permisos. Esta información está disponible dentro del panel de administración de VoIPstudio.
Si se transmiten datos confidenciales, datos personales (por ejemplo: nombres, direcciones o teléfonos) o información de autenticación (por ejemplo: contraseñas), VoIPstudio soporta y recomienda la implementación de la encriptación opcional SSL de 256 bits entre cada componente de la cadena de comunicación.
Al implementar VoIPstudio, el usuario accede a estar vinculado a través de nuestra Política de Uso.
La política de seguridad de VoIPstudio asume que la retención de datos de cliente es permanente y está diseñado para ese estándar. Los clientes disponen de la posibilidad de implementar su propia política de retención de datos.