Seguridad

Los datos del cliente son confidenciales por definición y se rigen por normas de protección que restringen el procesamiento y la transmisión al único fin para el que se proporcionaron los datos de acuerdo con el contrato.

Un programa de concientización promueve la seguridad de la información entre los miembros del personal al establecer una cultura de seguridad que los hace responsables. El programa refuerza nuestra seguridad de la información al recordarle a las personas la importancia de aplicar valores éticos y principios de conducta, y las reglas a seguir y las sanciones en las que se puede incurrir. Un programa de capacitación sobre seguridad ofrece cursos para varias categorías de personal: gerentes, oficiales de ventas y preventa, desarrolladores, administradores, CIO, etc.

Los perímetros de seguridad definen niveles de seguridad que pueden ser específicos y, según los riesgos identificados, se dividen con medidas de seguridad físicas y lógicas que ayudan a restringir el acceso de acuerdo con las reglas de autorización.

El acceso a los sistemas de información se gestiona según zonas tanto físicas como lógicas. La gestión de acceso se basa en el principio de "privilegios mínimos" y se limita a lo estrictamente necesario. Las autorizaciones se revisan periódicamente, teniendo en cuenta quién ha llegado, quién ha sido transferido y quién se ha ido.

Las necesidades de seguridad y compliance se estudian desde el momento en que se configura una nueva actividad internamente o en beneficio de los clientes. A continuación, se puede establecer la organización necesaria para garantizar la seguridad en la construcción y ejecución de la actividad.

Las medidas de seguridad se aplican de manera integral: para locales, personas, redes y equipos de TI. Las estaciones de trabajo están protegidas con una herramienta que muestra el nivel de seguridad de cada dispositivo y restringe su acceso a las redes (solución NAC). Los equipos y las conexiones que se utilizan para el trabajo a distancia y móvil están protegidos con la gestión de dispositivos móviles (MDM) y túneles de comunicación seguros en forma de redes privadas virtuales (VPN). Todos los flujos de la red se filtran y monitorean.

Estos servicios y productos están protegidos mediante la integración de medidas en las aplicaciones para garantizar un nivel de seguridad de vanguardia. El objetivo principal de estas medidas es garantizar la resiliencia de los servicios, la integridad del procesamiento y la protección de los datos. Los desarrollos se realizan para proteger el software contra las lagunas de seguridad conocidas enumeradas en los estándares principales, como OWASP.

La seguridad operativa está garantizada por la distribución geográfica de las instalaciones del Grupo, donde numerosas actividades similares permiten operar a distancia. La redundancia del sistema cliente se basa en requisitos contractuales definidos. Todas las medidas de continuidad se describen en los planes de continuidad del negocio (BCP) para cada sitio y proyecto.

Para mantener el nivel de confianza esperado , las partes interesadas de Inetum mantienen al tanto de las nuevas tecnologías y regulaciones. Las publicaciones y alertas de los CERT y los grupos de expertos les permiten hacer esto.

Una estructura organizativa y unos procedimientos específicos garantizan la capacidad de respuesta en la identificación y resolución de incidencias. Estos se analizan con el fin de definir acciones para mejorar la seguridad. Se informa a los clientes de las incidencias de seguridad que les puedan afectar, según las condiciones definidas en el plan de garantía de seguridad (SAP). Se activa una unidad de crisis para manejar incidentes críticos de seguridad.

El gobierno de seguridad de Inetum cumple con la norma ISO 27001 basado en un proceso de mejora continua en 3 niveles: • Operaciones: en respuesta a incidentes de seguridad • Procesos de seguridad: con un programa anual de auditoría interna • Estrategia de seguridad, con revisiones de la Dirección