Documentación de Cumplimiento GDPR
Verdana – A Software Company LLC
Política de Privacidad
1.1 Información General
Verdana es una plataforma SaaS dedicada a la gestión del compliance y relación con terceros. Esta política de privacidad describe cómo Verdana recopila, utiliza y protege la información personal que procesa.
1.2 Datos Personales Procesados
1.2.1 Usuarios de Clientes Directos
– Nombre
– Apellido
– Correo electrónico corporativo
1.2.2 Usuarios de Terceros
Datos de empleados/representantes de terceros (proveedores, clientes, etc.) dados de alta por los clientes directos:
– Nombre
– Apellido
– Correo electrónico corporativo
1.3 Base Legal para el Procesamiento
El procesamiento se realiza bajo las siguientes bases legales del GDPR:
– Artículo 6(1)(b) – Ejecución de un contrato
– Artículo 6(1)(f) – Intereses legítimos
Para usuarios de terceros, la base legal adicional es:
– Artículo 6(1)(f) – Interés legítimo del cliente en la gestión de relaciones con sus terceros
1.4 Roles y Responsabilidades en el Procesamiento
1.4.1 Verdana
– Rol: Procesador de datos
– Responsabilidades:
* Implementar medidas técnicas y organizativas
* Procesar datos según instrucciones del cliente
* Facilitar el ejercicio de derechos GDPR a través del cliente
1.4.2 Clientes Directos
– Rol: Controlador de datos
– Responsabilidades:
* De sus propios empleados
* De los usuarios de terceros que den de alta
* Obtener consentimiento o base legal válida
* Gestionar solicitudes de derechos GDPR
1.4.3 Terceros
– Rol: Titulares de datos (a través de cliente)
– Derechos:
* Ejercer derechos GDPR a través del cliente que los dio de alta
* Solicitar actualización o borrado de datos de sus empleados
1.5 Finalidad del Procesamiento
Los datos personales se utilizan exclusivamente para:
– Autenticación y acceso a la plataforma
– Comunicaciones relacionadas con el servicio
– Gestión de usuarios y permisos
– Registro de actividades de compliance
– Gestión de relaciones entre clientes y sus terceros
1.6 Período de Retención
– Datos de empleados de clientes: mientras el usuario tenga una cuenta válida
– Datos de usuarios de terceros: mientras mantengan relación con el cliente
– Tras la terminación del servicio o relación: eliminación en 30 días
1.7 Ejercicio de Derechos GDPR
1.7.1 Quién Puede Ejercer Derechos
**Clientes Directos pueden solicitar:**
– Borrado de datos de sus empleados
– Borrado de datos de usuarios de sus terceros
– Modificación de cualquier dato bajo su control
**Terceros pueden solicitar (a través del cliente):**
– Borrado de datos de sus empleados/representantes
– Modificación de datos de sus empleados/representantes
– Acceso a datos de sus empleados/representantes
1.7.2 Quién NO Puede Ejercer Derechos Directamente con Verdana
**Empleados de clientes directos:**
– Deben canalizar solicitudes a través de su empleador
– Razón: El cliente es el controlador de datos
**Empleados/representantes de terceros:**
– Deben canalizar solicitudes a través de su empleador
– Su empleador debe canalizar a través del cliente de Verdana
– Razón: El cliente de Verdana es el controlador de datos
**Ex-empleados (de clientes o terceros):**
– Deben canalizar a través del ex-empleador
– Razón: Verdana no puede verificar estatus laboral
**Público general:**
– No tienen datos en el sistema
– No existe base legal para procesar solicitudes
1.7.3 Procedimiento de Ejercicio de Derechos
**Para Clientes Directos:**
– Contacto directo con Verdana a través de [email protected]
– Tiempo de respuesta según tipo de solicitud (ver sección 3.1)
– Verificación de autorización del solicitante
**Para Terceros:**
– Solicitud a su empresa
– La empresa contacta al cliente de Verdana
– El cliente de Verdana procesa la solicitud con Verdana
Acuerdo de Procesamiento de Datos (DPA)
2.1 Roles y Responsabilidades
**Verdana como Procesador se compromete a:**
– Procesar los datos personales solo según instrucciones documentadas del Cliente
– Implementar medidas técnicas y organizativas apropiadas
– Asistir al Cliente en el cumplimiento de sus obligaciones GDPR
– Notificar cualquier brecha de seguridad dentro de las 72 horas
**El Cliente como Controlador es responsable de:**
– Asegurar la base legal para el procesamiento
– Obtener los consentimientos necesarios de sus empleados y terceros
– Mantener actualizada la información de sus usuarios
– Gestionar las solicitudes de derechos de sus terceros
2.2 Medidas de Seguridad
Verdana implementa las siguientes medidas:
– Encriptación en tránsito (TLS 1.3)
– Encriptación en reposo (AES-256)
– Control de acceso basado en roles
– Autenticación de dos factores
– Logs de auditoría
– Backups diarios encriptados
2.3 Subprocesadores
Verdana utiliza Amazon Web Services (AWS) como único subprocesador para el almacenamiento y procesamiento de datos:
2.3.1 Detalles del Subprocesador
– Nombre: Amazon Web Services (AWS)
– Ubicación: Región AWS EU (Ireland)
– Propósito: Infraestructura cloud y almacenamiento de datos
– Certificaciones relevantes: ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3
– DPA de AWS: https://aws.amazon.com/compliance/gdpr-center/
2.3.2 Medidas de Seguridad Específicas con AWS
– Encriptación en reposo utilizando AWS KMS (AES-256)
– Encriptación en tránsito mediante TLS 1.3
– IAM (Identity and Access Management) para control granular de accesos
– VPC (Virtual Private Cloud) dedicada
– Grupos de seguridad y ACLs de red configurados
– Logs de auditoría mediante AWS CloudTrail
– Monitorización continua mediante AWS CloudWatch
– Backups automatizados con AWS Backup
2.3.3 Garantías de AWS
AWS proporciona garantías específicas de cumplimiento GDPR mediante:
– Cláusulas Contractuales Estándar (SCCs) actualizadas
– Medidas técnicas y organizativas documentadas
– Compromiso de notificación de brechas de seguridad
– Certificaciones de cumplimiento normativo
– Mecanismos de borrado seguro de datos
2.3.4 Gestión del Subprocesador
Verdana se compromete a:
– Mantener actualizado el DPA con AWS
– Monitorizar el cumplimiento continuo de AWS
– Notificar a los clientes de cualquier cambio en la configuración de AWS que afecte al procesamiento de datos
– Realizar auditorías periódicas de la configuración de seguridad en AWS
– Mantener documentación actualizada de todas las medidas técnicas implementadas en AWS
Procedimientos Operativos
3.1 Ejercicio de Derechos GDPR
Los clientes pueden ejercer sus derechos GDPR contactando a [email protected]:
– Acceso: respuesta en 72 horas
– Rectificación: implementación en 24 horas
– Eliminación: ejecución en 30 días
– Portabilidad: entrega de datos en 72 horas
3.2 Gestión de Brechas de Seguridad
En caso de brecha de seguridad:
- Detección y evaluación inicial (2 horas)
- Notificación al DPO interno (4 horas)
- Notificación a clientes afectados (24 horas)
- Reporte a autoridades si necesario (72 horas)
- Implementación de medidas correctivas
- Informe post-incidente
3.3 Registro de Actividades de Procesamiento
Actividad | Base Legal | Finalidad | Retención |
Registro de usuarios clientes | Contrato | Acceso al servicio | Duración del servicio |
Registro de usuarios terceros | Interés legítimo | Acceso al servicio | Duración de relación con cliente |
Logs de actividad | Interés legítimo | Seguridad y auditoría | 12 meses |
Comunicaciones | Contrato | Notificaciones de servicio | Duración del servicio |
Medidas Técnicas y Organizativas
4.1 Control de Acceso
– Política de contraseñas robusta
– Sesiones con tiempo límite
– Registro de intentos de acceso
– Revocación inmediata de accesos
4.2 Segregación de Datos
– Separación lógica por cliente
– Entornos de desarrollo/producción separados
– Acceso basado en necesidad de conocimiento
4.3 Monitorización y Auditoría
– Logs de todas las operaciones CRUD
– Monitorización de accesos anómalos
– Auditorías de seguridad trimestrales
– Pruebas de penetración anuales
Declaración de Conformidad
Verdana declara que:
- Procesa datos personales mínimos necesarios
- Implementa privacy by design y by default
- Mantiene medidas técnicas actualizadas
- Forma a su personal en protección de datos
- Revisa y actualiza estas políticas anualmente
Infraestructura AWS
6.1 Servicios AWS Utilizados
**AWS EC2**
– Propósito: Hosting de la aplicación
– Configuración: Instancias en VPC privada
– Seguridad: Grupos de seguridad restrictivos
**AWS RDS**
– Propósito: Base de datos
– Configuración: Multi-AZ para alta disponibilidad
– Encriptación: Habilitada por defecto
**AWS S3**
– Propósito: Almacenamiento de archivos
– Configuración: Bucket privado
– Encriptación: SSE-KMS
**AWS CloudWatch**
– Propósito: Monitorización y logs
– Retención de logs: 12 meses
– Alertas configuradas para eventos de seguridad
6.2 Medidas de Seguridad Específicas AWS
**Control de Acceso**
– IAM roles con principio de mínimo privilegio
– MFA obligatorio para acceso administrativo
– Rotación automática de credenciales
**Networking**
– VPC con subnets privadas
– NAT Gateway para acceso a internet
– AWS WAF para protección de aplicación web
**Monitorización**
– AWS GuardDuty activado
– AWS Config para auditoría de configuración
– AWS SecurityHub para gestión centralizada de seguridad
**Backup y Recuperación**
– Backups diarios automatizados
– Retención de backups: 30 días
– Plan de recuperación de desastres documentado
6.3 Cumplimiento y Certificaciones AWS
AWS mantiene las siguientes certificaciones relevantes para el procesamiento de datos personales:
– ISO 27001 (Seguridad de la Información)
– ISO 27017 (Seguridad en la Nube)
– ISO 27018 (Protección de Datos Personales en la Nube)
– SOC 1 Type II
– SOC 2 Type II
– SOC 3
– C5 (Alemania)
– CISPE Code of Conduct
Contacto
Data Protection Officer: [email protected]
Dirección: 770 NE 69TH ST UNIT 8 MIAMI, FL 33138, United States
Teléfono: +541165908284
Registro de Cambios
– 10/11/2024: Actualización para incluir procesamiento de datos de usuarios de terceros
– 10/11/2024: Clarificación de roles y responsabilidades en el ejercicio de derechos GDPR
– 10/11/2024: Actualización de procedimientos para gestión de solicitudes de terceros
Última actualización: 10/11/2024