Medidas técnicas y organizativas de protección de datos y seguridad de la información de Jimdo

Introducción

Jimdo GmbH (en lo sucesivo, "Jimdo" o "el encargado del tratamiento") ha implantado unas medidas técnicas y organizativas adecuadas, tal y como se describe de forma general a continuación, para garantizar la protección de los datos personales tratados en el ámbito del contrato de tratamiento de datos de Jimdo para los clientes de Jimdo (en lo sucesivo, "cliente(s)" o "responsable(s) del tratamiento"). Para garantizar la idoneidad de las medidas adoptadas, estas se adaptan continuamente a los tipos de tratamiento, el alcance, el contexto, las categorías de datos personales, el coste de implantación, los fines del tratamiento y los riesgos, que pueden variar tanto en probabilidad como en gravedad.

Filtros de control de acceso

El equipo de seguridad de Jimdo se encarga de facilitar y desarrollar los procedimientos, procesos y controles que rigen la confidencialidad, la seguridad y la integridad del tratamiento de datos a través de la plataforma de Jimdo.

Plataforma

Jimdo aprovecha los principales proveedores de servicios en la nube y centros de datos para alojar su infraestructura en la nube. Jimdo aloja sus servicios en los principales proveedores de servicios en la nube y centros de datos, concretamente en los centros de datos basados en la nube de Amazon Web Services (AWS). Los centros de datos específicos de AWS que emplea Jimdo se encuentran en la Unión Europea. En la página de seguridad de AWS, se puede encontrar información exhaustiva acerca de las prácticas de seguridad líderes en el sector de AWS.

Resumen

A continuación, se incluye un resumen de las medidas técnicas y organizativas generales implantadas por Jimdo para garantizar un nivel de seguridad adecuado al riesgo:

1. Confidencialidad

1.1 Control de acceso

Se han adoptado las siguientes medidas para impedir un acceso no autorizado a las instalaciones de tratamiento de datos en las que se tratan datos personales ("controles de acceso").

  • Seguridad en las oficinas: las oficinas de Jimdo están cerradas de día y de noche y aseguradas con sistemas de cierre electrónico. Además, solo las personas autorizadas tienen acceso a los edificios de las oficinas.

  • Se ha implantado un sistema de gestión de autorizaciones de acceso físico para garantizar que las autorizaciones estén siempre actualizadas y que las llaves se distribuyan de forma segura y organizada. Solo las personas autorizadas tienen la llave electrónica necesaria. El sistema de gestión de autorizaciones de acceso físico regula la concesión y la retirada de autorizaciones de acceso a las salas, tanto al comienzo de una relación laboral como a su fin. Las autorizaciones de acceso solo se conceden cuando el personal superior correspondiente a un empleado lo solicita de forma legítima. Para la asignación de permisos, se aplica el principio de necesidad.

  • Datos personales in situ: todos los datos personales de clientes almacenados en las oficinas de Jimdo se guardan en oficinas convenientemente cerradas y con derechos de acceso restringidos gestionados exclusivamente por administradores designados. Jimdo restringe la cantidad de datos personales que se almacenan in situ.

  • Seguridad de la base de datos: los servicios de Jimdo se alojan en centros de datos basados en la nube de AWS. AWS cumple con los requisitos de las normas de nivel 3 y cuenta con certificaciones de seguridad estándar de la industria, entre las que se incluyen ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2 y SOC 3 y cuentan con los mecanismos y las precauciones de control de acceso adecuados. Puede encontrar más información sobre la seguridad de AWS en la página de seguridad de AWS.

  • Política de visitas: la política de visitas implantada por Jimdo garantiza que los visitantes solo puedan entrar en las oficinas una vez que la recepción abra las puertas principales. El equipo de recepción vigila la puerta de entrada en todo momento y se asegura de que todos los visitantes se presenten directamente en la recepción. Los visitantes se apuntan en un registro y un miembro del equipo de recepción los acompaña hasta donde esté su contacto. Los visitantes van acompañados por un empleado de Jimdo en todo momento y también se les exige que lleven un cordón visible que los identifique claramente como visitantes. Las políticas de protección de datos y seguridad de la información para el personal externo y para los acompañantes están indicadas por toda la oficina.

1.2 Control de acceso a sistemas

Se han adoptado las siguientes medidas para impedir el uso de los sistemas de tratamiento de datos por terceros no autorizados:

  • Control de acceso: el acceso a los sistemas se rige por una política de control de acceso.

  • La política de autorización de acceso de Jimdo describe el concepto de autorización basado en roles de la empresa, que permite la asignación diferenciada de autorizaciones de acceso, de forma que se garantiza que los empleados obtengan derechos de acceso a las aplicaciones y los datos en función de su área específica de responsabilidad.

  • Esta política también cubre los cambios y la eliminación de los derechos de acceso, por ejemplo, debido a cambios de función o al fin de la relación laboral. Las órdenes relativas a los derechos de acceso requieren siempre la aprobación explícita de un responsable. Jimdo aplica el principio del mínimo privilegio.

  • Las solicitudes relacionadas con los derechos de acceso siguen procesos establecidos y se registran en un sistema de gestión de tiques. De esta manera, se puede rastrear su ejecución, incluidas las aprobaciones. Las actividades relacionadas con los derechos de acceso (adición, cambio, eliminación y revisión) son realizadas por personal administrativo formado y hay un número limitado de personal autorizado para llevar a cabo estas actividades.

  • Control de contraseñas, autenticación multifactor y seguridad de aplicaciones: Jimdo emplea un software de gestión de contraseñas para garantizar que estas cumplan con los requisitos de complejidad. Las políticas de contraseñas de Jimdo exigen la autenticación multifactor, siempre que sea técnicamente posible. Todas las contraseñas se cifran para poder almacenarlas. Esto incluye las cuentas del personal, las cuentas de servicio y todas las contraseñas de los clientes de Jimdo.

  • Todos los sistemas esenciales y fundamentales están protegidos con autenticación multifactor y solo se puede acceder a ellos a través de una conexión VPN.

  • Jimdo supervisa, detecta y bloquea los ataques entrantes en nuestra plataforma de aplicaciones web. Periódicamente, se realizan pruebas de penetración en la plataforma de Jimdo, cuyos resultados analizan y corrigen (según proceda) nuestros equipos de ingeniería y seguridad.

  • Controles de acceso remoto: el acceso remoto a los sistemas informáticos de Jimdo, que tratan datos personales, requiere la conexión a través de una VPN cifrada. Cuando se trabaja de forma remota, todos los empleados deben cumplir la política de trabajo remoto de Jimdo, que obliga (entre otras cosas) a bloquear los ordenadores al dejarlos desatendidos.

  • Gestión de dispositivos móviles: la política de gestión de dispositivos móviles garantiza que dichos dispositivos estén siempre bloqueados con un código de acceso, incluidos los teléfonos, tabletas y portátiles de la empresa, que están registrados en el software de gestión de dispositivos móviles.

  • Sistemas de producción: el acceso a todos los sistemas de producción de Jimdo comprendidos en el entorno de Amazon Web Services (AWS) requiere autenticación y autorización. Los permisos de las cuentas se designan utilizando el concepto de mínimo privilegio, con un control de acceso basado en roles. El acceso administrativo requiere una VPN y autenticación multifactor y está restringido únicamente a personal limitado.

  • Actualizaciones de seguridad: todos los sistemas de servidores y del responsable del tratamiento se actualizan periódicamente mediante actualizaciones de seguridad.

1.3 Controles de acceso a datos

Se han adoptado las siguientes medidas que garantizan que el personal autorizado para el uso de un sistema de tratamiento de datos solo pueda acceder a los datos para los que tiene autorización de acceso, y que los datos personales no se puedan leer, copiar, modificar o eliminar sin autorización durante el tratamiento, el uso o después del almacenamiento.

Responsabilidades de los clientes de Jimdo:

  • Es responsabilidad del cliente establecer un control de acceso adecuado para los datos que almacena en la plataforma de Jimdo durante la duración del contrato.

  • La plataforma de Jimdo aplica una política de contraseñas fuertes a todas las contraseñas de las cuentas de los clientes.

  • Tal y como se recalca en las condiciones de servicio de Jimdo, el cliente está obligado a mantener una estricta confidencialidad con respecto a todos los datos de inicio de sesión, identificaciones y contraseñas para evitar que terceros accedan a sus datos de inicio de sesión. Está estrictamente prohibido compartir las credenciales de inicio de sesión del cliente para la plataforma de Jimdo.

Acceso y autenticación

Las políticas de acceso y autenticación de Jimdo se aplican a los sistemas que la empresa gestiona y mantiene. Las políticas abordan procesos de control que incluyen, a título enunciativo: prestación o fin de prestación de cuentas, autenticación, gestión de cuentas privilegiadas, identificación de usuarios, registro de acceso y supervisión. Para obtener acceso a los sistemas informáticos, los empleados deben disponer de la correspondiente autorización. Las políticas describen el control de acceso de Jimdo basado en roles, que, a su vez, se basa en el principio del mínimo privilegio, lo que garantiza que los empleados solo obtengan derechos de acceso a las aplicaciones y a los datos en función de sus respectivos roles y funciones. Para ello, los administradores conceden las correspondientes autorizaciones de empleado.

Gestión de registros de acceso: Jimdo ha implantado la gestión de registros de acceso, es decir, recopilamos, alertamos, revisamos y conservamos los registros de acceso de los eventos que podrían ayudar a detectar, comprender o recuperarse de cualquier posible incidente de seguridad.

Eliminación adecuada de los datos

Jimdo aplica una política de eliminación de datos que especifica que la destrucción de los soportes de datos y documentos en papel se realizará a través de un proveedor de servicios que garantice una eliminación que cumpla las exigencias de la norma DIN 66399.

Todos los empleados de Jimdo tienen órdenes de depositar toda la información que contenga datos personales o información sobre proyectos en los contenedores designados para la destrucción ubicados en las oficinas de la empresa.

Software adecuado

Jimdo aplica un riguroso proceso de gestión de proveedores externos, que incluye evaluaciones exhaustivas de protección de datos y seguridad en relación con cualquier nuevo software o servicio que se considere que pueda tratar datos personales. Este proceso garantiza que los empleados solo utilicen software autorizado por Jimdo.

1.4 Separación

Las siguientes medidas garantizan que los datos recabados para diferentes fines se almacenen y puedan tratarse por separado:

Separación lógica del responsable del tratamiento:

  • Todos los sistemas informáticos que Jimdo utiliza para el tratamiento de datos personales relativos al cliente y a los servicios de Jimdo que utiliza están dotados de una separación lógica del responsable del tratamiento, que garantiza la separación de los datos de otros tratados para diferentes fines.

  • Por norma general, se efectúa un tratamiento o almacenamiento por separado de los datos que tienen distintos fines de tratamiento.

  • Autorización de acceso: se establece un marco de autorizaciones de acceso graduadas de acuerdo con las políticas de acceso y autorización mencionadas previamente que todos los empleados aplican, en particular, en los departamentos técnicos (administración), de soporte, de gestión de dominios y de contabilidad de clientes.

  • Responsabilidades de los clientes: es responsabilidad del cliente garantizar la separación de los datos personales relativos a su uso de los servicios de Jimdo, tratados a través de o en la plataforma de Jimdo.

1.5 Seudonimización y cifrado

Las siguientes medidas garantizan que el tratamiento de datos personales se produzca de manera que los datos, sin añadir información adicional, ya no se puedan asignar a una persona afectada específica, siempre y cuando dicha información adicional se almacene por separado y se adopten las medidas técnicas y organizativas necesarias.

Cifrado:

  • Jimdo implanta certificados SSL para cifrar los datos en tránsito entre los usuarios finales del sitio web y los dominios de los clientes. Jimdo ofrece la política de seguridad HTTP Strict Transport Security, que cifra el contenido y solo permite acceder a los sitios web de los clientes de Jimdo a través de HTTPS.

  • El acceso administrativo a los sistemas de los servidores se realiza a través de conexiones cifradas y, además, los datos de los servidores y sistemas de Jimdo se almacenan exclusivamente en soportes de datos cifrados. Con estos fines, se emplean sistemas de cifrado de discos duros.

  • Responsabilidades de los clientes: es responsabilidad del cliente cifrar sus datos tratados y guardados en y a través de la plataforma de Jimdo con la tecnología (software) adecuada.

Seudonimización

  • Responsabilidades de los clientes: la seudonimización de los datos personales que Jimdo trate en nombre del cliente (por ejemplo, datos guardados en y a través de la plataforma de Jimdo) es responsabilidad de este último cuando así lo exija la ley.

2. Integridad

2.1 Control de introducción de datos

Las siguientes medidas se aplican para controlar, revisar y determinar si se introducen, modifican o eliminan datos personales en los sistemas de tratamiento de datos y quién lleva a cabo dichas acciones:

Gestión de registros de acceso:

  • Registros de acceso generales: Jimdo ha implantado la gestión de registros de acceso, es decir, recopilamos, alertamos, revisamos y conservamos los registros de acceso de los eventos que podrían ayudar a detectar, comprender o recuperarse de cualquier posible incidente de seguridad.

  • Registros del cliente: Jimdo solo registra la introducción y las modificaciones de datos personales efectuadas por los clientes y documenta la hora y el responsable de la acción cuando se estipula en una instrucción adicional (según se determina en el contrato de tratamiento de datos de Jimdo), que debe presentarse por escrito e independientemente del área de administración del sitio web.

  • En caso de que Jimdo deba eliminar información o bloquear el acceso a la misma por motivos legales (por ejemplo, en caso de uso por parte de clientes de servicios telemáticos o de comunicación electrónica de terceros en los sistemas informáticos), se llevará a cabo un registro del bloqueo. Los datos de los registros se almacenarán y contendrán la identificación del empleado. La eliminación se produce automáticamente tras la finalización del contrato o según lo determinado por las condiciones de servicio de Jimdo y las acciones asociadas del usuario de Jimdo, y se registra.

Responsabilidades de los clientes:
  • el cliente es responsable de la introducción de sus datos personales en la plataforma de Jimdo.

2.2 Control de transmisión de datos

Las siguientes medidas garantizan que los datos personales no puedan leerlos, copiarlos, modificarlos o eliminarlos personas no autorizadas durante su transmisión electrónica o durante su transporte o almacenamiento en soportes de datos, y que pueda verificarse y determinarse a qué órganos pueden transmitirse o se han transmitido datos personales utilizando instalaciones de transmisión de datos.

Cifrado:

  • De acuerdo con la respectiva política de Jimdo, para la administración de las bases de datos solo se utilizan conexiones cifradas (y VPN).

  • Los cifrados SSL y TLS a través de la plataforma de Jimdo garantizan que la confidencialidad de los datos en tránsito no se vea vulnerada e impiden el acceso no autorizado.

Formación y sensibilización de los empleados:

  • Todos los empleados que trabajen en un proyecto de un cliente o con datos de un cliente recibirán formación regular y adecuada en cuanto al uso autorizado de datos y las modalidades de transmisión de datos apropiadas.

  • Todos los empleados reciben formación habitual en materia de protección de datos y seguridad de la información. Todos los empleados tienen la obligación de garantizar el mantenimiento de la confidencialidad, la integridad y la disponibilidad de los datos.

3. Disponibilidad y resistencia

Las siguientes medidas garantizan que los sistemas de tratamiento de los datos empleados funcionen siempre de forma adecuada y que los datos personales estén protegidos frente a la destrucción o la pérdida accidentales.

Centros de datos:

  • Los centros informáticos que emplea Jimdo disponen de un suministro de energía ininterrumpido (SEI), aire acondicionado en las salas de servidores, dispositivos de supervisión de la temperatura y la humedad en las salas de servidores, alarmas de incendio y humos, sistemas de alarma y seguridad.

  • Hay un sistema antiincendios y un sistema de alarma temprana exhaustivos.

  • Se han implantado soluciones diseñadas para proteger y mitigar los efectos de los ataques DDoS.

  • Copia de seguridad: Jimdo aplica una política de copias de seguridad adecuada a todos los datos.

Emergencias y recuperación:

  • Jimdo ha implantado y difundido un plan de emergencias que también incluye un plan de recuperación.

  • Los planes de emergencias y recuperación de Jimdo se prueban periódicamente y los resultados de dichas pruebas se emplean para mejorar los planes siempre que es necesario.

4. Procedimientos de comprobación, valoración y evaluación periódicas

Estas medidas describen procedimientos de comprobación, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar un tratamiento conforme a la protección de datos.

4.1 Gestión de la protección de datos

Gestión de la protección de datos:

  • Jimdo ha implantado un sistema de gestión de la protección de datos. Cuenta con políticas de protección y seguridad de datos, así como con procesos para garantizar la aplicación de los objetivos de las políticas.

Delegado de protección de datos:

  • Jimdo ha designado a un delegado de protección de datos que, junto con los equipos de seguridad y jurídico, garantiza la aplicación de estas medidas técnicas y organizativas. Puede ponerse en contacto con este delegado a través de los datos de contacto que figuran en la política de privacidad de Jimdo.

Equipo de seguridad:

  • Se ha creado un equipo de seguridad que planifica, aplica, evalúa y actualiza las medidas para proteger los datos personales y garantizar la seguridad de la información. El equipo de seguridad cuenta con la ayuda del equipo jurídico y del delegado de protección de datos.

Seguimiento y revisión continuos:

  • La efectividad de las directrices y políticas se examina y revisa periódicamente.

Respuesta ante incidentes:

  • Jimdo cuenta con una política de incumplimiento de protección de datos, así como con un plan de respuesta ante incidentes, que garantiza que todos los empleados reconozcan los incidentes de seguridad y protección de datos y que dichos problemas se comuniquen inmediatamente después de su detección al equipo de seguridad. En la medida en que los datos personales que se tratan en nombre de los clientes se vean afectados, se notificará a los clientes el tipo y el alcance del incidente de acuerdo con las condiciones del contrato de tratamiento de datos de Jimdo.

  • Jimdo cuenta con controles para garantizar que, cuando sea su responsabilidad legal y resulte necesario y apropiado, se realice una evaluación del impacto de la protección de datos.

4.2 Control de contratos (subcontratación de terceros o subencargados del tratamiento)

Las siguientes medidas garantizan el cumplimiento de la garantía de Jimdo de que los datos personales tratados en nombre del cliente solo pueden tratarse según las instrucciones del cliente de Jimdo.

Gestión de terceros:

  • Cuando intervienen proveedores de servicios externos o terceros, se celebra un contrato de tratamiento de datos. Jimdo aplica una rigurosa comprobación del riesgo de los proveedores, la seguridad y la protección de datos de todos los proveedores de servicios externos y garantiza el cumplimiento continuo del RGPD. Durante la relación contractual, se supervisa a los subencargados del tratamiento constantemente.

4.3 Protección de datos mediante el diseño de la tecnología y la configuración de la privacidad por defecto (privacidad por diseño y por defecto)

Desarrollo de software:

El proceso de desarrollo de software de Jimdo se somete a un procedimiento de revisión continuo y sigue un ciclo de vida de desarrollo de software seguro que incluye la elaboración de modelos de amenazas. Así, se puede garantizar el principio de protección de datos por diseño.

  • En Jimdo, a la hora de desarrollar software, se procura cumplir el principio de necesidad en relación con las interfaces de los clientes. Por ello, por ejemplo, los campos de los formularios y las pantallas pueden configurarse con flexibilidad. De este modo, el cliente puede crear campos obligatorios o desactivar otros.

  • Autorización de acceso: Tal y como se ha descrito anteriormente en las referencias a la política de autorización de acceso de Jimdo, los permisos de datos o aplicaciones se configuran de forma flexible y granular, basándose en el principio del "mínimo privilegio".

  • Privacidad por diseño: Jimdo incorpora los principios de privacidad por diseño para sistemas y mejoras en la fase más temprana de desarrollo.