Skip to main content

Documentación de Cumplimiento GDPR

Verdana – A Software Company LLC

Política de Privacidad

1.1 Información General

Verdana es una plataforma SaaS dedicada a la gestión del compliance y relación con terceros. Esta política de privacidad describe cómo Verdana recopila, utiliza y protege la información personal que procesa.

1.2 Datos Personales Procesados

1.2.1 Usuarios de Clientes Directos

– Nombre

– Apellido

– Correo electrónico corporativo

1.2.2 Usuarios de Terceros

Datos de empleados/representantes de terceros (proveedores, clientes, etc.) dados de alta por los clientes directos:

– Nombre

– Apellido

– Correo electrónico corporativo

1.3 Base Legal para el Procesamiento

El procesamiento se realiza bajo las siguientes bases legales del GDPR:

– Artículo 6(1)(b) – Ejecución de un contrato

– Artículo 6(1)(f) – Intereses legítimos

Para usuarios de terceros, la base legal adicional es:

– Artículo 6(1)(f) – Interés legítimo del cliente en la gestión de relaciones con sus terceros

1.4 Roles y Responsabilidades en el Procesamiento

1.4.1 Verdana

– Rol: Procesador de datos

– Responsabilidades:

* Implementar medidas técnicas y organizativas

* Procesar datos según instrucciones del cliente

* Facilitar el ejercicio de derechos GDPR a través del cliente

1.4.2 Clientes Directos

– Rol: Controlador de datos

– Responsabilidades:

* De sus propios empleados

* De los usuarios de terceros que den de alta

* Obtener consentimiento o base legal válida

* Gestionar solicitudes de derechos GDPR

1.4.3 Terceros

– Rol: Titulares de datos (a través de cliente)

– Derechos:

* Ejercer derechos GDPR a través del cliente que los dio de alta

* Solicitar actualización o borrado de datos de sus empleados

1.5 Finalidad del Procesamiento

Los datos personales se utilizan exclusivamente para:

– Autenticación y acceso a la plataforma

– Comunicaciones relacionadas con el servicio

– Gestión de usuarios y permisos

– Registro de actividades de compliance

– Gestión de relaciones entre clientes y sus terceros

1.6 Período de Retención

– Datos de empleados de clientes: mientras el usuario tenga una cuenta válida

– Datos de usuarios de terceros: mientras mantengan relación con el cliente

– Tras la terminación del servicio o relación: eliminación en 30 días

1.7 Ejercicio de Derechos GDPR

1.7.1 Quién Puede Ejercer Derechos

**Clientes Directos pueden solicitar:**

– Borrado de datos de sus empleados

– Borrado de datos de usuarios de sus terceros

– Modificación de cualquier dato bajo su control

**Terceros pueden solicitar (a través del cliente):**

– Borrado de datos de sus empleados/representantes

– Modificación de datos de sus empleados/representantes

– Acceso a datos de sus empleados/representantes

1.7.2 Quién NO Puede Ejercer Derechos Directamente con Verdana

**Empleados de clientes directos:**

– Deben canalizar solicitudes a través de su empleador

– Razón: El cliente es el controlador de datos

**Empleados/representantes de terceros:**

– Deben canalizar solicitudes a través de su empleador

– Su empleador debe canalizar a través del cliente de Verdana

– Razón: El cliente de Verdana es el controlador de datos

**Ex-empleados (de clientes o terceros):**

– Deben canalizar a través del ex-empleador

– Razón: Verdana no puede verificar estatus laboral

**Público general:**

– No tienen datos en el sistema

– No existe base legal para procesar solicitudes

1.7.3 Procedimiento de Ejercicio de Derechos

**Para Clientes Directos:**

– Contacto directo con Verdana a través de [email protected]

– Tiempo de respuesta según tipo de solicitud (ver sección 3.1)

– Verificación de autorización del solicitante

**Para Terceros:**

– Solicitud a su empresa

– La empresa contacta al cliente de Verdana

– El cliente de Verdana procesa la solicitud con Verdana

Acuerdo de Procesamiento de Datos (DPA)

2.1 Roles y Responsabilidades

**Verdana como Procesador se compromete a:**

– Procesar los datos personales solo según instrucciones documentadas del Cliente

– Implementar medidas técnicas y organizativas apropiadas

– Asistir al Cliente en el cumplimiento de sus obligaciones GDPR

– Notificar cualquier brecha de seguridad dentro de las 72 horas

**El Cliente como Controlador es responsable de:**

– Asegurar la base legal para el procesamiento

– Obtener los consentimientos necesarios de sus empleados y terceros

– Mantener actualizada la información de sus usuarios

– Gestionar las solicitudes de derechos de sus terceros

2.2 Medidas de Seguridad

Verdana implementa las siguientes medidas:

– Encriptación en tránsito (TLS 1.3)

– Encriptación en reposo (AES-256)

– Control de acceso basado en roles

– Autenticación de dos factores

– Logs de auditoría

– Backups diarios encriptados

2.3 Subprocesadores

Verdana utiliza Amazon Web Services (AWS) como único subprocesador para el almacenamiento y procesamiento de datos:

2.3.1 Detalles del Subprocesador

– Nombre: Amazon Web Services (AWS)

– Ubicación: Región AWS EU (Ireland)

– Propósito: Infraestructura cloud y almacenamiento de datos

– Certificaciones relevantes: ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3

– DPA de AWS: https://aws.amazon.com/compliance/gdpr-center/

2.3.2 Medidas de Seguridad Específicas con AWS

– Encriptación en reposo utilizando AWS KMS (AES-256)

– Encriptación en tránsito mediante TLS 1.3

– IAM (Identity and Access Management) para control granular de accesos

– VPC (Virtual Private Cloud) dedicada

– Grupos de seguridad y ACLs de red configurados

– Logs de auditoría mediante AWS CloudTrail

– Monitorización continua mediante AWS CloudWatch

– Backups automatizados con AWS Backup

2.3.3 Garantías de AWS

AWS proporciona garantías específicas de cumplimiento GDPR mediante:

– Cláusulas Contractuales Estándar (SCCs) actualizadas

– Medidas técnicas y organizativas documentadas

– Compromiso de notificación de brechas de seguridad

– Certificaciones de cumplimiento normativo

– Mecanismos de borrado seguro de datos

2.3.4 Gestión del Subprocesador

Verdana se compromete a:

– Mantener actualizado el DPA con AWS

– Monitorizar el cumplimiento continuo de AWS

– Notificar a los clientes de cualquier cambio en la configuración de AWS que afecte al procesamiento de datos

– Realizar auditorías periódicas de la configuración de seguridad en AWS

– Mantener documentación actualizada de todas las medidas técnicas implementadas en AWS

Procedimientos Operativos

3.1 Ejercicio de Derechos GDPR

Los clientes pueden ejercer sus derechos GDPR contactando a [email protected]:

– Acceso: respuesta en 72 horas

– Rectificación: implementación en 24 horas

– Eliminación: ejecución en 30 días

– Portabilidad: entrega de datos en 72 horas

 

3.2 Gestión de Brechas de Seguridad

En caso de brecha de seguridad:

  1. Detección y evaluación inicial (2 horas)
  2. Notificación al DPO interno (4 horas)
  3. Notificación a clientes afectados (24 horas)
  4. Reporte a autoridades si necesario (72 horas)
  5. Implementación de medidas correctivas
  6. Informe post-incidente

3.3 Registro de Actividades de Procesamiento

Actividad Base Legal Finalidad Retención
Registro de usuarios clientes Contrato Acceso al servicio Duración del servicio
Registro de usuarios terceros Interés legítimo Acceso al servicio Duración de relación con cliente
Logs de actividad Interés legítimo Seguridad y auditoría 12 meses
Comunicaciones Contrato Notificaciones de servicio Duración del servicio

Medidas Técnicas y Organizativas

4.1 Control de Acceso

– Política de contraseñas robusta

– Sesiones con tiempo límite

– Registro de intentos de acceso

– Revocación inmediata de accesos

4.2 Segregación de Datos

– Separación lógica por cliente

– Entornos de desarrollo/producción separados

– Acceso basado en necesidad de conocimiento

4.3 Monitorización y Auditoría

– Logs de todas las operaciones CRUD

– Monitorización de accesos anómalos

– Auditorías de seguridad trimestrales

– Pruebas de penetración anuales

Declaración de Conformidad

Verdana declara que:

  1. Procesa datos personales mínimos necesarios
  2. Implementa privacy by design y by default
  3. Mantiene medidas técnicas actualizadas
  4. Forma a su personal en protección de datos
  5. Revisa y actualiza estas políticas anualmente

Infraestructura AWS

6.1 Servicios AWS Utilizados

**AWS EC2**

– Propósito: Hosting de la aplicación

– Configuración: Instancias en VPC privada

– Seguridad: Grupos de seguridad restrictivos

**AWS RDS**

– Propósito: Base de datos

– Configuración: Multi-AZ para alta disponibilidad

– Encriptación: Habilitada por defecto

**AWS S3**

– Propósito: Almacenamiento de archivos

– Configuración: Bucket privado

– Encriptación: SSE-KMS

**AWS CloudWatch**

– Propósito: Monitorización y logs

– Retención de logs: 12 meses

– Alertas configuradas para eventos de seguridad

6.2 Medidas de Seguridad Específicas AWS

**Control de Acceso**

– IAM roles con principio de mínimo privilegio

– MFA obligatorio para acceso administrativo

– Rotación automática de credenciales

**Networking**

– VPC con subnets privadas

– NAT Gateway para acceso a internet

– AWS WAF para protección de aplicación web

**Monitorización**

– AWS GuardDuty activado

– AWS Config para auditoría de configuración

– AWS SecurityHub para gestión centralizada de seguridad

**Backup y Recuperación**

– Backups diarios automatizados

– Retención de backups: 30 días

– Plan de recuperación de desastres documentado

6.3 Cumplimiento y Certificaciones AWS

AWS mantiene las siguientes certificaciones relevantes para el procesamiento de datos personales:

– ISO 27001 (Seguridad de la Información)

– ISO 27017 (Seguridad en la Nube)

– ISO 27018 (Protección de Datos Personales en la Nube)

– SOC 1 Type II

– SOC 2 Type II

– SOC 3

– C5 (Alemania)

– CISPE Code of Conduct

Contacto

Data Protection Officer: [email protected]

Dirección: 770 NE 69TH ST UNIT 8 MIAMI, FL 33138, United States

Teléfono: +541165908284

Registro de Cambios

– 10/11/2024: Actualización para incluir procesamiento de datos de usuarios de terceros

– 10/11/2024: Clarificación de roles y responsabilidades en el ejercicio de derechos GDPR

– 10/11/2024: Actualización de procedimientos para gestión de solicitudes de terceros

Última actualización: 10/11/2024