Seguridad de los servicios proporcionados por CONEIX

El presente documento establece las políticas y medidas técnicas y organizativas que aplican al servicio en la nube proporcionado por CONEIX.

1 MEDIDAS DE SEGURIDAD GENERALES

POLÍTICAS DE LA ORGANIZACIÓN
Política de privacidad de la información	Existe una política de privacidad y protección de datos personales publicada y conocida por todo el personal y colaboradores
Responsable de seguridad	CONEIX ha designado un Responsable de Seguridad de la Información, responsable de coordinar y supervisar las políticas, normativas y procedimientos de seguridad. Sus responsabilidades incluyen la verificación del cumplimiento de estas políticas, la evaluación de riesgos para la seguridad de la información, la determinación de las medidas técnicas y organizativas necesarias para mitigar los riesgos, y la supervisión del desempeño de los controles implantados.
Roles y responsabilidades en materia de seguridad de la información y protección de la privacidad	Los roles y responsabilidades en materia de seguridad de la información y protección de la privacidad están definidos y asignados apropiadamente dentro de la organización. El personal de CONEIX que gestiona los Servicios que contienen Datos del Cliente está sujeto a obligaciones de confidencialidad y a la normativa de seguridad de la información y protección de datos personales.
Programa de gestión de riesgos	En el marco del Sistema de Gestión de la Seguridad de la Información existe un plan de evaluación y tratamiento de riesgos de seguridad de la información y se revisa periódicamente.
Evaluación continua	CONEIX realiza una verificación y evaluación periódica de la eficacia de las medidas técnicas y organizativas implantadas para proteger la seguridad en la información en los sistemas de tratamiento, centros de trabajo y usuarios que los utilizan. Esta evaluación y revisión se realiza bajo el criterio de los estándares de seguridad de la industria y las propias políticas y procedimientos determinados por el Sistema de Gestión de la Seguridad de la Información.
Política de seguridad y privacidad de proveedores	Existe un proceso formal que permite valorar el cumplimiento de los requisitos de seguridad información y protección de la privacidad que deben cumplir los proveedores que tratan información y datos personales. Únicamente se da acceso a la información a los proveedores cuando exista una necesidad legítima que justifique este acceso.
PERSONAL Y COLABORADORES
Responsabilidades	Asimismo, todo el personal de CONEIX se ha comprometido a cumplir y hacer cumplir las políticas y normativas de seguridad de la información de la empresa.
Compromiso de confidencialidad	Todo el personal y colaboradores de CONEIX firman un documento de carácter contractual mediante el que se obligan a guardar secreto y garantizar la confidencialidad y seguridad respecto de los datos a los que pudiera tener acceso por razones de su responsabilidad laboral, contractual o de cualquier otro tipo. Tendrá la consideración de información confidencial, cualquier información (comercial, técnica, administrativa u otras) de CONEIX y sus clientes, sobre sus asuntos comerciales, tecnología, maquinaria, procesos, productos, planos, instalaciones y dependencias, que antes de ser recibidas por el trabajador o trabajadora no estaban en su conocimiento o poder sin obligación de confidencialidad.
Normativa interna de seguridad de la información	Existe una normativa de seguridad de la información, protección de datos personales y uso de los medios informáticos que todo el personal y colaborades se ha comprometido a cumplir. Dicho documento incluye la advertencia de que el incumplimiento de dichas obligaciones constituye una falta grave de indisciplina o desobediencia en el trabajo y, por tanto, será sancionable.
Formación y concienciación	Todo el personal de CONEIX recibe una formación adecuada con respecto a la seguridad de la información y la protección de los datos personales. Asimismo, periódicamente se realizan actividades y acciones de concienciación dirigidas a todo el personal
Normas de uso de los sistemas de información	La normativa de seguridad de la información establece las normas de uso aceptable de los sistemas de información y equipos que el personal tiene a su cargo.
Normas de uso personal de los equipos corporativos	Se permite el uso para fines particulares de aquellos ordenadores y dispositivos proporcionados por Coneix haciendo un uso responsable y seguro de los mismos cumpliendo con la política de protección de datos.
SEGURIDAD EN EL PUESTO DE TRABAJO
Equipos desatendidos	Cuando un equipo quede desatendido se proceda al bloqueo de la pantalla o al cierre de la sesión.
Información en la nube	CONEIX trata toda la información mediante servicios en la nube, por lo que no se almacena información sensible en los equipos de trabajo. Si se descarga en un equipo local para su revisión se debe borrar una vez ya no es necesario.
Teletrabajo seguro	Se ha establecido una política para que el teletrabajo se pueda realizar de forma segura.
Custodia de documentación	Se ha establecido una normativa para que en ningún momento quede documentación en papel o soportes de información sin custodia en el puesto de trabajo.
Seguridad en los dispositivos móviles	Se permite el uso para fines particulares de los dispositivos móviles proporcionados por Coneix haciendo un uso responsable y seguro de los mismos cumpliendo con la política de protección de datos.
ACCESO A LOS SISTEMAS
Política de control de accesos	CONEIX mantiene una política de control de acceso que determina los privilegios de seguridad de las personas que tienen acceso a la información bajo el principio de mínimo privilegio.
Autorización de acceso	Existe un proceso formal para gestionar la autorización, alta, baja y modificación de accesos de los usuarios a los sistemas.
Cuentas individuales	Cada persona utiliza una cuenta de usuario individual e intransferible.
Mínimo privilegio	CONEIX ha definido y aplica una política de mínimo acceso por defecto, que garantiza que el personal y colaborades únicamente tienen acceso a la información que requieren para desempeñar las labores de su puesto de trabajo
Cuentas con acceso privilegiado	Para realizar tareas de administración y configuración de los sistemas se utilizan cuentas de acceso nominales con derechos privilegiados que son diferentes y segregadas de las cuentas de uso ordinario de los sistemas.
Autenticación	CONEIX utiliza prácticas estándares del sector para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información. Para acceder a aquellas redes más expuestas o para la administración de sistemas se utilizan sistemas de doble factor de autenticación y/o vpns. Todos los sistemas incluyen controles para evitar los intentos reiterados de conseguir acceso a los sistemas de información mediante una contraseña inválida.
Seguridad de las contraseñas	Coneix ha definido una política de contraseñas para el acceso al sistema y aplicaciones que cumplen como mínimo lo siguiente: Longitud de la contraseña: mínimo 8 caracteresRequisitos de complejidad de las contraseñascaducidad de la contraseñadoble autenticación mediante código por correo en el primer intento (30 días)doble autenticación por certificado rsa y contraseña en conexión sshacceso externo a base de datos mediante conexión VPN y con certificado y contraseña
Confidencialidad de las contraseñas	Existe una normativa para asegurar la confidencialidad de las contraseñas, evitando que queden expuestas o sean compartidas con terceros. Internamente, todas las contraseñas se guardan aplicando algoritmos de cifrado irreversibles.
Registros de accesos	Se mantiene y supervisa un registro de los accesos e intentos de acceso a los sistemas
ACTIVOS DE TRATAMIENTO DE LA INFORMACIÓN
Inventario de activos	Se dispone de un inventario de los sistemas y equipos utilizados en el tratamiento de la información, con la información de la persona que es responsable de dicho equipo.
Desecho y reutilización segura	Se han definido procesos formales para el desecho y/o reutilización segura de los equipos de tratamiento de la información.
Mantenimiento de los equipos	Los sistemas y equipos utilizados para el tratamiento de la información están debidamente mantenidos u actualizados
Protección contra malware	Los equipos en los que se almacena información disponen de protección de acceso. La información queda guarda con los permisos necesarios evitando que se pueda leer/editar/ejecutar por usuarios no autorizados.
Actualización del software	Todo el software que se utiliza para el tratamiento de la información está debidamente actualizado y sin vulnerabilidades graves conocidas.
Bastionado de los sistemas	La infraestructura está protegida con las garantías proporcionadas por el proveedor del centro de datos, OVH y HETZNER, que disponen de certificación ISO27001.
Instalación de software por parte de los usuarios	No existe una normativa o medidas técnicas para impedir que el personal pueda instalar el software que considere necesario en sus equipos de trabajo. El usuario hara un uso responsable y seguro de su equipo.
Limitación de privilegios de administración	No se han implantado medidas técnicas para que los usuarios no puedan modificar o desactivar las configuraciones de seguridad de los equipos que crean necesarias. El usuario hara un uso responsable y seguro de su equipo.
SEGURIDAD DE RED
Protección y segregación de redes	La infraestructura está protegida con las garantías proporcionadas por el proveedor del centro de datos, OVH y HETZNER, que disponen de certificación ISO27001.
Arquitectura	La infraestructura de la aplicacion proporcionada por CONEIX está alojada en el centro de datos de OVH y HETZNER, dónde se albergan los servidores. Estos centros de datos disponen de certificación ISO27001. Los datos tienen redundancia ya que existe una réplica de los datos alojados entre OVH y HETZNER.
Seguridad perimetral en la red	La infraestructura está protegida con las garantías proporcionadas por el proveedor del centro de datos, OVH y HETZNER, que disponen de certificación ISO27001.
Protocolos seguros de transmisión de la información	Todo el tráfico en las redes de la organización, está cifrado mediante protocolos seguros y sin vulnerabilidades graves conocidas (por ejemplo, mínimo TLS 1.2)
Gestión de alertas de seguridad y detección y prevención de intrusiones	Nuestro sistema de supervisión controla registros de actividad en la red de servidores. El sistema envía alertas sobre sucesos indebidos.
Mitigación DDoS	CONEIX monitoriza el tráfico de red en tiempo real para inspeccionar el tráfico. Para realizar la mitigación automática de la mayoría de las técnicas DDoS los firewalls de nuestros proveedores, OVH y HETZNER, protegen contra todos los ataques de infraestructura conocidos.
OPERACIONES DE SEGURIDAD
Acceso lógico	CONEIX utiliza una arquitectura de seguridad basada en usuarios y perfiles y requiere que los usuarios se identifiquen y autentiquen antes de acceder a cualquier recurso del sistema, con privilegios de acceso específicos por usuario y perfil. Los recursos de producción y todas las acciones administrativas se registran y almacenan durante al menos 2 años con protecciones específicas y copias de seguridad para evitar que se modifiquen los registros de auditoría. Todos los recursos de producción se gestionan en el sistema de inventario de activos.
Supervisión y gestión de la capacidad	CONEIX ha implantado un proceso de supervisión de los sistemas y gestión de la capacidad, para monitorizar de forma continua el desempeño de los sistemas, supervisar el uso de los recursos y ajustar la utilización de los recursos, así como realizar proyecciones de los requisitos futuros de capacidad, para garantizar el rendimiento requerido de los sistemas
Respuesta a Incidentes de seguridad	En caso de una alerta del sistema, los sucesos se escalan a nuestro equipo de TI. Asimismo, los clientes tienen a su disposición el sistema de tiques, el telefono de atención al cliente y el correo proposta@coneix.com para dar respuesta a cualquier incidente que puedan detectar.
Gestión de cambios	CONEIX dispone de un procedimiento de gestión de cambios mediante el cual se previene que cualquier cambio pueda afectar a la seguridad de la información y los servicios. Dado el caso de que el cambio pueda afectar al servicio, el procedimiento contempla la obligación de informar a los clientes de forma previa de cambios, que proporciona información suficiente para que el cliente pueda valorar el impacto, y se proporciona información sobre la planificación del cambio y posibles alteraciones en la disponibilidad del servicio.
Registros de auditoría	Se recogen, conservan y revisan los registros de auditoría de las operaciones realizadas sobre los datos (acceso, modificación y eliminación).
CIFRADO DE DATOS
Cifrado de datos en tránsito	Toda la información en tránsito se transmite siempre de forma segura dentro de lo posible y teniendo en cuenta los requisitos específicos de cada cliente. Los protocolos de servicios expuestos a Internet directamente son HTTPS/SSH habilitando únicamente las versiones más recientes y seguras. En cuanto a los protocolos CONEIX realiza test de penetración para asegurarnos que los cifrados permitidos no son vulnerables a ataques y aplicamos las actualizaciones y configuraciones de seguridad necesarias. Las comunicaciones con servicios de terceros por necesidades de los clientes (integraciones, webservices) se realizan utilizando HTTPS/SSH y/o VPN.
Cifrado en almacenamiento	La información almacenada de los backups esta encriptada.
DISPONIBILIDAD Y CONTINUIDAD
Disponibilidad	CONEIX realiza una supervisión continua de la disponibilidad de los sistemas y servicios con el objetivo de garantizar el cumplimento de los objetivos de disponibilidad del servicio comprometidos.
Redundancias	La redundancia está integrada en la infraestructura del sistema que soporta los servicios de producción para ayudar a garantizar que no haya un único punto de falla. En caso de que falle un sistema primario, el hardware redundante está configurado para ocupar su lugar.
Copias de Seguridad	Se realizan copias de seguridad de forma automatizada. El proceso de ejecución de las copias está supervisado y en caso de que se produzca algún error en la realización de las copias el personal de sistemas intervendrá para determinar la causa raíz del error y reanudar la ejecución de la copia. Se realiza una copia diaria de la base de datos, del código y de los documentos de clientes. Se encripta y se almacena en una unidad FTP ubicada fisicamente en otro punto al del servidor del origen de los datos. A demás, las copias se envían a un servidor en Sant Cugat del Vallés y a google drive. En la unidad de google drive es dónde se guarda el histórico (una copia anual, una copia mensual, una copia semanal y una copia diaria). Adicionalmente se hace una copia de seguridad anual de las maquina virtuales (servidores).
Supervisión de las copias de seguridad	Se supervisa de forma continua la ejecución correcta de las copias de seguridad.
Pruebas de recuperación	Se realizan pruebas periódicas de recuperación y verificación de información contenida en las copias de seguridad
Plan de continuidad	Se ha elaborado y probado un Plan de Continuidad para poder dar respuesta en plazos y condiciones adecuadas a aquellos incidentes que pudieran provocar una disrupción en los servicios contratados.
Procedimientos de recuperación ante desastres	Se dispone de procedimientos específicos de protección y recuperación ante amenazas que comprometan la integridad de la información, tal como los ataques por ransomware o fallos graves en la infraestructura tecnológica.
SEGURIDAD FÍSICA DE LOS ESPACIOS DE TRATAMIENTO
Control de acceso	Nuestros proveedores han implantado controles de acceso físico a las dependencias donde se realiza el tratamiento de la información para asegurar que únicamente el personal autorizado tiene el acceso permitido.
Protección contras las amenazas externas y ambientales	Nuestros proveedores han establecido las medidas necesarias para proteger las personas, equipos e instalaciones esenciales en caso desastres naturales, ataques maliciosos o incidentes, tales como incendio, inundaciones, fugas de agua, fallos en el aire acondicionado, etc.
Instalaciones de suministro	Nuestros proveedores han establecido las medidas necesarias para garantizar la continuidad del suministro eléctrico en aquellas instalaciones esenciales.
Seguridad de los centros de tratamiento de datos	Los servicios de CONEIX se ejecutan en servidores ubicados en centros de datos de OVH i HETZNER que disponen de certificaciones ISO 27001. En consecuencia, los controles de seguridad física están delegadas en estos proveedores. Estos centros de datos están ubicados en UE.

2 SEGURIDAD EN LAS APLICACIONES

POLÍTICAS DE DESARROLLO SEGURO
Formación en seguridad	Periódicamente nuestros ingenieros y desarrolladores participan en programas de formación interna y externa relativa a principios de ingeniería de sistemas seguros, mejores prácticas de seguridad por diseño y desarrollo de código seguro.
Controles de seguridad en el código	CONEIX contempla todas las medidas de seguridad recomendadas por OWASP. Están incluyen las guías para proteger las aplicaciones con respecto las principales amenazas conocidas, tal como Injection, Broken Authentication, exposición de datos sensibles, Broken access control, Cross-Site Scripting XSS y Cross Site Request Forgery (CSRF) entre otros. Asimismo, el proceso de pruebas aplica todas aquellas verificaciones relevantes para nuestras aplicaciones incluidas en la guía de testing de la OWASP
Controles de pruebas del código	Durante el proceso de pruebas se revisa el código y se realizan pruebas detalladas antes de la puesta en producción de cualquier cambio. Asimismo, el proceso incluye la realización de pruebas de regresión para evitar impactos imprevistos debido a los cambios introducidos en el código, en las librerías y componentes utilizados y en los sistemas operativos donde se ejecutan las aplicaciones. El equipo participa activamente en el ciclo de desarrollo, de forma que sus recomendaciones se contemplan desde el diseño.
Entornos separados	Los programadores trabajan en su equipo local pudiendo sincronizar código y base de datos. Los entornos de pruebas se encuentran en un entorno completamente separado del de producción, con servidores específicos para estos entornos.

3 CARACTERÍSTICAS DE SEGURIDAD DEL PRODUCTO

SEGURIDAD EN LA AUTENTICACIÓN
Opciones de autenticación	Para acceder a la aplicación de Coneix los usuarios deben identificarse mediante sus propias credenciales de identificador de usuario y contraseña. Para acceder a la aplicación de correo los usuarios deben identificarse mediante sus propias credenciales de identificador de usuario y contraseña. Se utilizarán certificados SSL cliente firmados por la autoridad certificadora Let’s Encrypt.
Política de contraseñas	Las contraseñas solo pueden ser restablecidas por el usuario final o por un perdil administrador con una dirección de correo electrónico activa. Las políticas de contraseña implican el cumplimiento de un mínimo de requisitos de longitud y complejidad para asegurar que las contraseñas son robustas. El mecanismo de asignación de contraseñas permite garantizar el secreto de las mismas, dado que el usuario puede establecer su propia contraseña a partir del primer acceso. Asimismo, el proceso de recuperación de contraseña garantiza que únicamente el usuario puede conocer la nueva contraseña.
Gestión de cuentas de usuario	Los nuevos usuarios reciben un correo electrónico con las instrucciones y las credenciales temporales que deben ser modificadas por el propio usuario en el primer acceso.
Acceso de administrador	Los técnicos de soporte de CONEIX pueden acceder al servicio del cliente mediante una contraseña maestra, por lo que para atender las incidencias no requieren que el usuario les comunique las suyas propios, de modo que se garantiza el secreto de la contraseña de los usuarios.
Restricción de acceso en la aplicación	Los usuarios con perfil administrador pueden acceder a cada una de las aplicaciones para establecer a qué aplicaciones y servicios tiene acceso cada usuario.
Registros de auditoría	Se realiza un registro de auditoría de todos los accesos y modificaciones realizadas desde las aplicaciones en la misma aplicación y en los servidores. Estos registros pueden ser consultados por el administrador.
Almacenamiento seguro de contraseñas.	CONEIX sigue las mejores prácticas de almacenaje seguro de contraseñas. Las contraseñas nunca se guardan en formato legible, generándose un cifrado hash. El tránsito de contraseñas entre el navegador y el servidor se protege mediante la utilización del protocolo HTTPS que implica el cifrado de los datos de los formularios enviados.
Seguridad en la transmisión de datos	Todas las comunicaciones a través de redes públicas con los servidores de CONEIX (de ida y vuelta) se cifran utilizando HTTPS, SFTP o SHH. Esto garantiza que todo el tráfico de datos entre el cliente y CONEIX sea secreto durante el tránsito.

4 PROTECCIÓN DE DATOS PERSONALES

MEDIDAS TÉCNICAS Y ORGANIZATIVAS
Sistema de Gestión	CONEIX ha implantado un sistema de gestión de la de la privacidad de la información que permite asegurar el cumplimiento de las obligaciones legales, el adecuado tratamiento de los riesgos para los derechos y libertades de los usuarios y un proceso de revisión y mejora continua de las políticas aplicadas.
Responsabilidades	CONEIX ha nombrado un Responsable de Protección de Datos personales a cargo de la supervisión del Sistema de Protección de Datos Personales. Sus responsabilidades incluyen la definición de las políticas de protección de los datos personales, la verificación del cumplimiento de estas políticas, la evaluación de riesgos en el tratamiento de datos personales, la determinación de las medidas técnicas y organizativas necesarias para mitigar los riesgos, la supervisión del desempeño de las medidas implicadas y la evaluación de cumplimiento normativo. Asimismo, todo el personal de CONEIX se ha comprometido a cumplir y hacer cumplir las políticas y normativas de protección de datos de la empresa.
Obligaciones	Todo el personal de CONEIX firma un documento de carácter contractual mediante el que se obligan al cumplimiento de las políticas de protección de datos personales Dicho documento incluye la advertencia de que el incumplimiento de dichas obligaciones constituye una falta grave de indisciplina o desobediencia en el trabajo y, por tanto, será sancionable.
Formación y concienciación	Todos los empleados de CONEIX participan regularmente en sesiones de concienciación y formación en la protección del tratamiento de los datos personales.
Medidas técnicas	Todos los tratamientos de datos personales están protegidos mediante las mismas medidas técnicas que aplican a toda la información de la empresa de acuerdo con lo establecido en la política y normativa de protección de datos de la empresa.
Política de privacidad	En la “Política de privacidad”, CONEIX ha incluido una cláusula en la que establece la política de privacidad para la protección de datos personales. Dicha política incluye la información sobre las finalidades y legitimidad de los tratamientos, las categorías de datos tratados, los criterios de conservación de los datos, las posibles comunicaciones o cesiones de datos, y el procedimiento para que los interesados puedan ejercer sus derechos.
Encargo de tratamiento	Mediante las cláusulas de encargo de tratamiento incluidas en el Acuerdo de Tratamiento de Datos de los servicios proporcionados por CONEIX, CONEIX asume su responsabilidad como encargado de tratamiento de los datos que trata por cuenta de nuestros clientes necesarios para prestar los servicios contratados. Por tanto, CONEIX da garantías para: Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
Comunicación y cesión de datos	No se comunicara los datos personales a terceros, salvo que sea necesario para prestar el servicio, estén cubiertos por una ley o que lo haya pactado previamente con CONEIX. Las comunicaciones de datos contempladas son: Los servidores en los que se apoya el servicio están proporcionados por un proveedor de infraestructura, en este caso el servicio OVH i HETZNER que actúa como encargado de tratamiento. Los servidores contratados están ubicados en la Unión Europea e incluyen el cumplimiento del RGPD.
Transferencias internacionales de datos	La prestación de los servicios de CONEIX puede implicar el tratamiento de los datos personales por parte de empresas ubicadas en países fuera del Espacio Económico Europeo (transferencias internacionales de datos). Sin embargo, sólo se realizará con países que ofrecen un nivel adecuado de protección, que hayan puesto a nuestra disposición Cláusulas Contractuales Tipo (Standard Contractual Clauses – SCC) o, en el caso de entidades en los EE.UU., que estén amparadas en el Marco de Privacidad de Datos UE-EE.UU.. Decisión (UE) 2016/679 de la Comisión, de 10 de julio de 2023.
Criterio de conservación	Tal como se especifica en la “Política de Privacidad”, se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.
PRIVACIDAD POR DISEÑO Y POR DEFECTO
Minimización de la recogida de datos	Únicamente se recogen los datos estrictamente necesarios para la finalidad para la que deben ser tratados.
Limitación del plazo de conservación de los datos	CONEIX ha establecido procedimientos para limitar la retención de los datos y evitar su conservación más allá de los plazos establecidos. Los archivos temporales creados como resultado del tratamiento son eliminados cuando dejan de ser necesarios.
Limitación de finalidad	CONEIX ha definido mecanismos para evitar que la información que se trata por cuenta del responsable pueda ser utilizada para finalidades diferentes de las establecidas en el Acuerdo de Tratamiento de Datos de los servicios proporcionados por CONEIX
Anonimización y cifrado de datos	Se aplican medidas de anonimización y cifrado de los datos, especialmente cuando la información tratada incluye datos especialmente sensibles.
Segregación de información sensible	El acceso a la información más sensible está segregado de forma que únicamente puedan ser consultados y tratados por personal específicamente autorizado.
EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS
Procedimiento de respuesta	CONEIX ha definido un proceso formal para atender y asistir al responsable en la respuesta a las peticiones de ejercicio de los derechos de los interesados.
Comunicación de las peticiones de ejercicio de los derechos	CONEIX ha definido los canales para comunicar las peticiones de ejercicio de los derechos de los interesados al responsable del tratamiento.
Limitación de tratamiento	Existen mecanismos para limitar el tratamiento de los datos siempre que así sea requerido.
BRECHAS DE SEGURIDAD
Gestión de brechas de seguridad en datos personales	El procedimiento permite identificar cuando se produce una violación de seguridad de los datos personales y contemplar la notificación al responsable de forma inmediata y sin dilación indebida acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para evaluar el impacto y determinar las causas y medidas correctivas aplicadas.
Asistencia al responsable en la notificación de brechas de seguridad	Está previsto asistir al responsable a realizar la notificación de la violación de la seguridad a la autoridad de supervisión y, en su caso, a los interesados, teniendo en cuenta la información a disposición del encargado.

5 RELACIÓN CON PROVEEDORES

MEDIDAS GENERALES
Política de seguridad de proveedores	Existe un proceso formal que permite valorar el cumplimiento de los requisitos de seguridad información que deben cumplir los proveedores que tratan información y datos personales. Únicamente se da acceso a la información a los proveedores cuando exista una necesidad legítima que justifique este acceso.
Confidencialidad	Todos nuestros proveedores deben firmar compromisos de confidencialidad y acuerdos de no divulgación (NDA) para proteger el secreto de la información de CONEIX y de nuestros clientes
Certificación y homologación	Todos los proveedores que presten servicios que implique el tratamiento de información de CONEIX y de nuestros clientes en sus instalaciones, deben disponer de garantías de cumplimiento con RGPD o equivalentes. En el caso particular de proveedores de servicios e infraestructura de tratamiento de la información en la nube (SaaS, IaaS, PaaS), las certificaciones ISO27001 o equivalentes deben cubrir en su alcance los servicios prestados a CONEIX. En caso de no disponer de dichas certificaciones, el proceso de homologación implica la verificación de la existencia garantías equivalentes adecuadas a los riesgos identificados y, incluso, la posibilidad de responder a auditorias de terceras partes para verificar el desempeño de las garantías aportadas.
Evaluación de los servicios	CONEIX tiene implantado un proceso de evaluación de proveedores que implica la revisión periódica del cumplimiento de las garantías de nivel de servicio (SLA) acordadas y el cumplimiento de los requisitos de los servicios establecidos.
Aseguramiento de la cadena de suministro	La política de CONEIX es la de garantizar la continuidad de nuestros servicios mediante la diversificación y redundancia de proveedores.
Tratamiento de datos personales	CONEIX dispone de acuerdos de encargo de tratamiento de datos personales (DPA) con todos los proveedores que prestan servicios que implican el tratamiento de datos personales de los cuales son responsables CONEIX o nuestros clientes en sus instalaciones
Cese de servicio	CONEIX requiere de sus proveedores, y en especial aquellos que prestan servicios en la nube, que eliminen cualquier información que traten una vez se acuerda el cese de servicio. Esta política se aplica a toda la información que se procesa en virtud del servicio prestado, ya sea propio de CONEIX o de nuestros clientes.
Segregación de entornos	CONEIX requiere de sus proveedores, y en especial aquellos que prestan servicios en la nube, que garanticen la segregación de los entornos virtuales de procesamiento de la información, con garantías de estanqueidad del acceso a los diferentes entornos y de la capacidad de servicio.

6 CUMPLIMIENTO NORMATIVO

CUMPLIMIENTO LEGAL
Protección de datos personales	CONEIX cumple la legislación de protección de datos de acuerdo con: Reglamento (UE) 2016/679 de Protección de Datos Personales (RGPD)Ley 3/2018, de 5 de diciembre de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales (LOPD-GDD).Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. La información relativa a los tratamientos de datos que CONEIX lleva a cabo se puede encontrar en nuestra política de privacidad: https://coneix.com/politica-de-privacidad/

CUMPLIMIENTO LEGAL

Protección de datos personales

CONEIX cumple la legislación de protección de datos de acuerdo con: Reglamento (UE) 2016/679 de Protección de Datos Personales (RGPD)Ley 3/2018, de 5 de diciembre de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales (LOPD-GDD).Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. La información relativa a los tratamientos de datos que CONEIX lleva a cabo se puede encontrar en nuestra política de privacidad: https://coneix.com/politica-de-privacidad/

Política de seguridad de los servicios proporcionados por Coneix