Controles de Acceso a los Sistemas. Lotame mantiene políticas técnicas y organizativas apropiadas, procedimientos y salvaguardas para limitar el acceso a su Plataforma y Servicios sólo a aquellas personas que requieren acceso, incluyendo la protección contra el procesamiento no autorizado, pérdida o divulgación no autorizada de o acceso a los Datos del Cliente y Datos de Socios de Datos. El acceso a los Datos del Cliente y a los Datos de los Socios de Datos dentro de la Plataforma de Lotame se rige por el control de acceso basado en roles (RBAC) y puede configurarse para definir privilegios de acceso granulares, incluyendo distintos privilegios de lectura/escritura. Estos privilegios se agrupan en roles reutilizables y personalizables para dar soporte a varios niveles de permiso para empleados y usuarios (propietario, administrador, agente, usuario final, etc.). A los usuarios individuales se les concede cualquier número de roles, proporcionando así la capacidad de controlar responsabilidades específicas y niveles de acceso dentro de la organización de Lotame. El sistema de gestión de la seguridad de la información de Lotame cuenta con la certificación ISO/IEC 27001:2013 y es auditado anualmente por un tercero independiente. El certificado ISO/IEC 27001:2013 de Lotame está disponible aquí.
Controles físicos y ambientales - Infraestructura de alojamiento. La infraestructura de producción de Lotame está alojada en Amazon Web Services (AWS). Lotame no mantiene ningún acceso físico a las instalaciones de AWS, y el acceso remoto está restringido al personal de operaciones nombrado según sea necesario. Para obtener más información acerca de la seguridad de AWS, consulte https://aws.amazon.com/security/.
Controles físicos y medioambientales - Oficinas corporativas. Si bien los Datos del Cliente no se alojan en las oficinas corporativas de Lotame, sus controles técnicos, administrativos y físicos para sus oficinas corporativas están cubiertos por su certificación ISO/IEC 27001:2013 e incluyen, entre otros, los siguientes:
El acceso físico a las oficinas corporativas se controla en los puntos de entrada a las oficinas;
Todo el personal debe tener acceso a una tarjeta de identificación, cuyos privilegios se revisan periódicamente;
Los visitantes deben ir acompañados por empleados; y
Cámaras.
Transmisión y almacenamiento de datos. Todos los Datos de Clientes o Datos de Socios de Datos en tránsito entre Clientes Comerciales y Socios de Datos se cifran utilizando TLS 1.2 o superior. Los datos de clientes y socios de datos también se cifran en reposo.
Prácticas de desarrollo. Lotame utiliza procesos y sistemas de código fuente, construcción y despliegue estándar de la industria para gestionar la introducción de nuevo código en su Plataforma y Servicios. El acceso a los repositorios de código se concede según sea necesario sólo a los empleados dentro de las organizaciones de tecnología e ingeniería de Lotame.
Gestión de la configuración. Lotame utiliza herramientas automatizadas de gestión de la configuración para gestionar los tiempos de ejecución de las aplicaciones y los parámetros de configuración en toda nuestra infraestructura, con acceso restringido a los empleados que dan soporte a las versiones y operaciones. Dentro de la arquitectura de la información de gestión de la configuración, las credenciales utilizadas por los sistemas automatizados (por ejemplo, inicios de sesión en bases de datos) están aisladas de los parámetros generales de configuración de la aplicación para limitar aún más el acceso a dichas credenciales.
Minimización de Datos y Pseudonimización. Los Servicios de Lotame no controlan los Datos de los Clientes o los Datos de los Socios de Datos para limitar qué Datos Personales se recopilan y se nos envían - nuestros Clientes Comerciales y Socios de Datos generalmente determinan qué Datos Personales se recopilan. La Plataforma de Lotame procesará todos los datos, independientemente de su naturaleza, siempre que se ajusten a las características predefinidas que permiten su procesamiento. Lotame no toma ninguna decisión basada en datos que no sea seguir las instrucciones de los clientes a medida que configuran las herramientas de recopilación de datos de Lotame para realizar sus operaciones deseadas. Los Datos de Clientes y los Datos de Socios de Datos se asocian a identificadores seudónimos asignados por Lotame. Si los Datos del cliente o los Datos del socio de datos incluyen identificadores deterministas no encriptados (por ejemplo, direcciones de correo electrónico), Lotame tokeniza dichos identificadores deterministas y los segrega de todos los demás datos, y utiliza medidas y controles técnicos y organizativos para mantener dicha separación, evitar el uso de dichos identificadores deterministas durante el procesamiento dentro de la Plataforma, y evitar el acceso y la visualización de los identificadores deterministas, excepto por parte del liderazgo de operaciones limitadas con fines de solución de problemas y cumplimiento de las leyes aplicables.
Confidencialidad. Todos los empleados y contratistas de Lotame suscriben los acuerdos de confidencialidad habituales que rigen el acceso, uso y tratamiento de todos los Datos de Clientes o Datos de Socios que procesamos.
Notificaciones y mitigación de incidentes de datos personales. Lotame mantiene políticas y procedimientos de gestión de incidentes de datos que prueba anualmente. Lotame, sin demoras indebidas y de acuerdo con los plazos requeridos por las Leyes de Protección de Datos y Privacidad aplicables, notificará a nuestros Clientes Comerciales y Socios de Datos sobre cualquier incidente que resulte en la destrucción no autorizada o ilegal, pérdida, alteración, divulgación o acceso a sus Datos de Cliente o Datos de Socio de Datos. Lotame tomará medidas inmediatas para mitigar cualquier daño al exportador de datos o a los datos personales.
Detección y gestión de vulnerabilidades.
Antivirus y detección de vulnerabilidades: Lotame aprovecha las herramientas de detección de amenazas para monitorizar y alertar de actividades sospechosas, malware potencial, virus y/o código informático malicioso.
Pruebas de penetración y detección de vulnerabilidades: Lotame contrata anualmente a un tercero independiente para realizar pruebas de penetración de la Plataforma y los Servicios.
Gestión de vulnerabilidades: Las vulnerabilidades que cumplen los criterios de riesgo definidos activan alertas y se priorizan para su corrección en función de su impacto potencial en la Plataforma y los Servicios.