1. Introducción

Uno de los aspectos que siempre ha distinguido a Validated ID en el sector de la prestación de servicios de confianza ha sido nuestra vocación hacia la máxima seguridad jurídica, por lo que hemos diseñado un servicio robusto que garantizan o sólo el cumplimiento legal sino, además, el sometimiento a los estándares técnicos que permitan a nuestros clientes descansar con la absoluta confianza de que están protegidos ahora y en el futuro.

Esta seguridad jurídica de nuestros servicios se ve reflejada a nivel organizativo en el compromiso, como prestador de servicios de confianza, con los más altos estándares de seguridad técnica jurídica y calidad, como atestiguan nuestras certificaciones como qTSP, ISO 9001, ISO 27001, ENS o HDS, entre otras y en el estricto cumplimiento de la normativa vigente en todas sus vertientes, ya sea la normativa específica que regula la prestación de estos servicios de confianza, como la relativa a la privacidad y protección de datos personales o incluso aquellos aspectos puramente mercantiles.

2. Medidas técnicas y organizativas

Validated ID mantiene medidas técnicas y organizativas apropiadas conforme al artículo 32, RGPD, para asegurar un nivel de protección apropiado con relación al riesgo del tratamiento. Las siguientes medidas técnicas y organizativas han sido implementadas actualmente en Validated ID. Dichas medidas son monitorizadas y adaptadas a los desarrollos de última generación en forma continua.

El tratamiento de datos de carácter personal del Responsable del Tratamiento se realizará siguiendo en todo caso la normativa vigente en la materia, aplicando las medidas técnicas y organizativas correspondientes deacuerdo a la tipología de datos tratados. 

Deacuerdo con lo anterior, el Encargado del Tratamiento garantiza queha implementado todas las medidas necesarias para el tratamiento de los datosde carácter personal titularidad del Responsable del Tratamiento, de acuerdocon las medidas descritas en la tabla a continuación. 

En cualquier caso, el Responsable del Fichero podrá, en cualquier momento y sin necesidad de justificación alguna, solicitar cualquier información relacionada con las medidas de seguridad implementadas, incluidas certificaciones, adhesiones a códigos de conducta, políticas o cualesquiera otra tipología de documentos internos del Encargado del Tratamiento que permitan al Responsable del Tratamiento tener la certeza de que se respetan las obligaciones del RGPD y del contrato firmado entre las partes. 
Descripción de la medida

• Identificación  y autenticación a en los sistemas de tratamiento: Denegación, a las  personas no autorizadas, al acceso a cualesquiera sistemas de tratamiento  vinculados al tratamiento de los datos de carácter personal. 
• Gestión  de soportes: Implementación  de medidas orientadas a impedir la lectura, modificación, copia o sustracción  de soportes sin autorización. 
• Control  de acceso a los datos: Garantizar que el personal autorizado tiene  acceso únicamente a los datos correspondientes a su rol o perfil de  usuario. 
• Control  de las comunicaciones: Medidas orientadas a verificar e identificar a qué  personas se han proporcionado los datos, o han podido tener acceso a ellos  mediante los sistemas telemáticos de la compañía (sistemas de comunicación o  almacenamiento en la nube, VPN, etc.). 
• Registro  de modificaciones: Medidas  que permitan identificar qué datos se han modificado, por quien, y en qué  momento.  
• Control  en el traslado de la información: Medidas de seguridad implementadas  en el traslado de soportes que contengan datos de carácter personal. 
• Recuperación  de los sistemas y los datos: Medidas orientadas a garantizar que, en caso de  interrupción, inhabilitación de cualquier forma o destrucción de los  sistemas destinados al tratamiento de los datos, los mismos y los datos  pueden ser recuperados (Backups, protocolos de recuperación de desastres,  etc.) 
• Integridad: Implementación de un  sistema de gestión de incidencias que permita identificar errores, así como  que en cualquier caso, los datos personales no pueden verse comprometidos (o  corrompidos) por un mal funcionamiento de los sistemas. 

Descripción de la implementación de la misma por el Encargado del Tratamiento

• Acceso al  entorno por usuario y contraseña y para los usuarios privilegiados,  acceso forzado por 2FA.
• Control de acceso por IP.  Solamente se puede acceder desde los países que estipulamos. 
• Los soportes externos  tipo USB están prohibidos por política y bloqueados por GPO.
• Gestión de perfiles y  revisión periódica de los mismos mediante AD y gestión de accesos.
• Acceso a los sistemas  mediante VPN por certificado personal.
• Actividades de los  administradores registradas y correladas por SIEM corporativo
• Los soportes externos  tipo USB están prohibidos por política y bloqueados por GPO. 
• CPD georedundado (Principal  en Países Bajos, secundario en Irlanda)
• Backups de los  servicios de forma periódica. 
• Protocolos de  recuperación ante desastres probados parcialmente. 
• Tenemos una herramienta  interna de gestión y tratamiento de incidencias. Comité de Seguridad para la  gestión y seguimiento de temas relacionados con la seguridad así como la  evolución y tratamiento de las incidencias. En caso de que la incidencia  afecte a Datos personales, se tiene en cuenta, desde el momento inicial al  DPO. 

Asimismo , el Encargado del Tratamiento dispone de la certificación ISO 27001 en relación con los sistemas de tratamiento destinados a la prestación de losServicios objeto del presente contrato. El Encargado del Tratamiento se compromete a renovar la certificación durante toda la relación contractual con el Responsable del Tratamiento. En el supuesto que no se renueve dicha certificación, el Encargado del Tratamiento lo comunicará inmediatamente al Responsable del Tratamiento, quien analizará las medidas de seguridad que en su caso el Encargado del Tratamiento ofrezca para garantizar la seguridad e integridad de los datos objetos de tratamiento.  

3. Medidas de seguridad implementadas

Todas las operaciones de negocios están orientadas a un tratamiento de datos seguro, en cumplimiento con las disposiciones legales dentro del ámbito regulatorio europeo y a las recomendaciones de las autoridades de supervisión de protección de datos.

El almacenamiento de datos en las oficinas de Validated ID se evita deliberadamente y por completo. Todas las copias de seguridad se almacenan enCPD especializados bajo altos estándares de disponibilidad.

Las oficinas de Validated ID cuentan con posibilidades de acceso a los grupos de datos necesarios para la implementación de tareas relacionadas con los productos en los departamentos relevantes. Se ha implementado un concepto comprehensivo de roles y derechos para alinear en todo momento los derechos de acceso con el principio de la cuenta de usuario menos privilegiada. El concepto de protección de datos en las oficinas y con respecto a los clientes de los empleados en los respectivos departamentos es continuo, para prevenir todo acceso no autorizado a las bases de datos y a la infraestructura informática.

Dichas medidas se describen en mayor detalle a continuación:

1.    Medidas de cifrado

Medidas o procesos a través de los cuales texto o información claramente legible se convierte en ilegible, por ejemplo tornándose no fácilmente interpretable o una secuencia de caracteres (texto encriptado) con la ayuda de procedimientos de encriptación (sistemas de cifrado).

2.    Medidas para asegurar la confidencialidad

Medidas que deniegan acceso físico a los sistemas informáticos y a los sistemas de tratamiento de datos utilizados para tratar datos personales a personas no autorizadas, como así también a archivos confidenciales y portadores de datos:

·       Acceso físico a las oficinas de Validated ID

o  Seguridad adicional de puertas por medio de tokens electrónicos.

o  Seguridad de las oficinas por medio de equipo de vigilancia (sistema de alarma, videovigilancia del exterior)

o  Monitorización del edificio por parte de un encargado.

o  Personal de recepción durante horas regulares de oficina.

o  En lineas generales no hay visitantes externos; reglas claras para chequeos a visitantes.

·       Control de acceso físico al centro de datos

·       CPD ubicado en Azure, ubicación privada de Microsoft bajo sus políticas deacceso y auditorías.

·       Sistemas de control de acceso

o  Autorizaciones de acceso para todos los sistemas de tratamiento de datos

o  Sistemas informáticos y dispositivos de usuarios finales requieren autenticación a través de procedimientos de contraseñas, por ejemplo, inicio de sesión personal e individual cada vez que se accede al Sistema

o  Imposición por parte del sistema del cumplimiento de estándares para las contraseñas individuales conforme la política de contraseñas.

o  Listas de acceso

§  Registro de intentos de inicio de sesión y terminación del proceso de inicio de sesión luego de un número determinado de intentos fallidos

o  Actualización periódica de los filtros antivirus y contra spyware

o  Firewalls; prevención y detección de intrusión adicional; escaneos de vulnerabilidad y parches activos de seguridad en el centro de datos.

·       Control de acceso a datos

o  Conceptos de autorización(perfiles, roles, etc.) incluyendo documentación

o  Restricción de autorizaciones a través de autorizaciones grupales y jerárquicas conforme al principio de menor privilegio

o  Instalación y documentación de cuentas de usuario llevadas a cabo solamente por la informática interna y sobre la base de los conceptos de autorización

o  Evaluación/registro; procesos automáticos de monitoreo para los registros y para reportar anomalías

o  Interfaces para bloquear la entrada y salida (por ejemplo, memorias USB, control estricto de puertos) en todos los sistemas que tratan datos personales

o  Cuando un empleado deja la empresa, su cuenta de usuario, incluyendo todas las autorizaciones, son inmediatamente suprimidas; ésto siempre es cotejado con la documentación de las autorizaciones asignadas a dicho empleado.

·       Control de separación

o  Conceptos de autorización.

o  Separación de clientes del lado de la aplicación informática.

o  Separación estricta de los sistemas de desarrollo, integración, pre producción de producción.

3. Medidas para asegurar la integridad

Medidas para asegurar que los datos personales no puedan ser leídos, copiados, modificados o suprimidos por personas no autorizadas cuando se transfieren electrónicamente o cuando son transportados o almacenados en portadores de datos, y medidas para examinar y establecer los destinatarios a quienes los datos personales deben ser transmitidos.

·       Control de transmisión de datos

o  Todos los empleados tienen la obligación de cumplir con la normativa de protección de datos.

o  La transmisión de datos se realiza a través de redes cifradas o conexiones de túneles; en principio los datos siempre se transmiten utilizando cifrado SSL/TLS del lado del servidor.

o  Procesos de transporte bajo responsabilidad individual.

o  Métodos de encriptación y certificados que detectan modificaciones efectuadas durante el transporte

4. Medidas para asegurar la disponibilidad y resiliencia

Los datos se encuentran en CPD propiedad de Azure, con alta disponibilidad y facilidad de movimiento entre centros de forma que si uno es afectado, otro puede ocupar su carga de trabajo.

5. Firmas digitales

5.1 Formato

Las firmas digitales aplicadas están en formato PADES B-LT. LT significa "LongTerm" (a largo plazo). Esto significa que la firma puede ser validada después de la expiración del certificado porque la información de revocación del certificado está incrustada, así como los sellos de tiempo.

5.2 Algoritmos

Las firmas digitales se realizan utilizando:

- RSA

-SHA-512

5.3 Certificados

Se emite un OTC (One time certificate) por cada firma biométrica realizada.

Por defecto, VIDsigner utiliza FirmaProfesional como TSP para la emisión de OTC, pero puede ser configurado para utilizar OTC de otros TSP.

5.4 Duración

Los certificados de un solo uso se emiten con una duración de 24 horas. Esto asegura que no puede ser usado para otro propósito.

Como el formato de la firma es PADES B-LT, la firma sigue siendo válida después dela fecha de caducidad del certificado.

5.5 Sello de tiempo

LasPADES B-LT contienen un sello de tiempo para asegurar el momento en que se ha realizado la firma y que el certificado no ha sido revocado en ese momento.

Elestándar RFC-3161 (TimeStamp Protocol) se utiliza para solicitar y crear los sellos de tiempo.

Por defecto, VIDsigner utiliza sus propios sellos y que emite como QTSP, aunque también puede ser configurado para utilizar TimeStamps de otros TSPs.

4. Contrato encargado de tratamiento

La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato de encargo de tratamiento de datos, cuyo contenido se regula en el art. 28 RGPD. El contrato debe constar por escrito, inclusive en formato electrónico. En este sentido, la relación entre Validated ID-Partner-Cliente puede dar lugar a múltiples casuísticas, que harían necesaria la redacción de contratos de encargo a medida, si bien, Validated ID incorpora como anexo a sus Términos y Condiciones del Servicio un contrato de encargo tipo genérico que permita la protección legal de las partes.

Establece las condiciones en las que Validated ID tratará los datos personales, de los que el cliente final fuese Responsable del tratamiento y en el que Validated ID resultará Encargado o Subencargado de tratamiento según los casos.

5. Comunicación de datos

En relación con los datos recogidos por VALIDATED ID como Responsable deTratamiento, estarán almacenados en servidores propiedad del Responsable del tratamiento en territorio de la Unión Europa. No serán cedidos, ni transferidos a terceros, ni se harán transferencias a terceros países, salvo en los casosdetallados en el apartado 1) y de forma genérica:

5.1 Administraciones Públicas

EntidadesPúblicas, Agencia Tributaria, Jueces y Tribunales y, en general, autoridades competentes, cuando VALIDATED ID S.L. tenga la obligación legal de facilitarlos.

5.2 Proveedores de servicios externos:

Para la correcta prestación del servicio, VALIDATED ID obtiene los servicios de terceras empresas que deben acceder a los datos personales bajo nuestra responsabilidad. Se trata de un orden de tratamiento en el que los mencionados datos son tratados en nombre y por cuenta de VALIDATED ID S.L como consecuencia de su prestación de servicios, contratando únicamente servicios de empresas que garanticen el cumplimiento de la normativa de protección de datos.

VALIDATED ID S.L sigue unos estrictos criterios de selección de proveedores de servicios para cumplir con sus obligaciones en materia de protección de datos y se compromete a firmar el correspondiente contrato de tratamiento de datos con los proveedores de servicios a través del cual impondrá, entre otras, las siguientes obligaciones: aplicar las medidas técnicas y organizativas adecuadas; tratar los datos personales con las finalidades acordadas y teniendo en cuenta únicamente las instrucciones documentadas de VALIDATED ID S.L; y eliminar o devolver los datos a VALIDATED ID S.L una vez finalizada la prestación del servicio.

VALIDATED ID informa que de acuerdo con lo indicado anteriormente, serán Subencargados deTratamiento las siguientes entidades:

• MICROSOFT IRELAND OPERATIONS LIMITED para la prestación de servicios de computación en la nube (AZURE) y de correo electrónico(OUTLOOK), (provista de CIF IE8256796U, y domicilio social en Atrium BuildingBlock B, Carmen hall Road, Sandyford Industrial Estate, Dublín 18, Ireland) en sus servidores ubicados en territorio de la UE (Países Bajos).
• SALESFORCE, Inc para la prestación de servicios de CRM en las relaciones con los clientes, proveedores y realización de acciones de marketing, en sus servidores ubicados en territorio de la UE
• INSTASENT MOBILE ADVERTISING S.L. para la prestación de servicios de envío deSMS con OTP en los canales de firma que así lo requieran en sus procesos de firma, provista de CIF 87413829 y domicilio social en C/ Gran Vía, 28, 28013Madrid, en sus servidores ubicados en territorio de la UE
• LLEIDANETWORKS SERVEIS TELEMÀTICS S.A para la prestación de servicios de envío deSMS con OTP en los canales de firma que así lo requieran en sus procesos defirma. Provista de CIF A25345331 y domicilio social en Calle Tellez, 56 - LOCC, Madrid, en sus servidores  territorio de la UE
• TWILIO para la prestación de servicios de envío de SMS con OTP, así como el envío de los  para el acceso a los documentos en los canales de firma que así lo requieran en sus procesos. Provista de CIF y domicilio social en 101 SpearStreet, Suite 100, San Francisco, CA 94105, en sus servidores ubicados en territorio de la UE.
• ZENDESK INC para la prestación del servicio de gestión de incidencias técnicas a través de tickets, con domicilio social en 1019Market Street, San Francisco, CA 94103, United States, en sus servidores ubicados en territorio de la UE.
• INTERCOM R&D Unlimited Company para la prestación del servicio de chat weben tiempo real. Provista de CIF, y domicilio social en 3rd Floor, StephensCourt, 18-21 Saint Stephen's Green, Dublín 2, en sus servidores ubicados en territorio de la UE.
• UANATACA S.A para la prestación de servicios de confianza emisión/custodia de certificados digitales. Provista de CIF A66721499 y con domicilio social en la Calle Riera de Can Todà no24, 6o1a, 08024 de Barcelona,en sus servidores ubicados en territorio de laUE.

VALIDATED ID no venderá, comercializará ni transmitirá de ninguna otra manera los datos personales recogidos a terceros, ni realizará transferencia internacional de datos fuera de la UE.

‍

‍