Seguridad

Privacidad y GDPR

Como organización de análisis de datos, LOGEX actúa como procesador de datos para realizar análisis de datos en nombre de sus clientes. Por lo tanto, LOGEX realiza sus actividades únicamente sobre la base legal descrita en el artículo 6 (1) (b) del GDPR ("Ejecución de un contrato"). LOGEX solo trabaja con datos exportados de los sistemas de los clientes y no se integra con los sistemas de los clientes, ni modifica los datos dentro de esos sistemas. Esto significa que los datos dentro de los sistemas de los clientes permanecen inalterados y son el (único) punto de verdad.

Dada la naturaleza del negocio de LOGEX, LOGEX no sólo procesa datos personales, sino también, tal como se define en el GDPR, "categorías especiales" de datos personales, siendo la información relativa a la salud de las personas. Solo los empleados autorizados de LOGEX y los usuarios de nuestros clientes tendrán acceso a estos datos.

LOGEX ha nombrado a un Oficial de Privacidad para supervisar el cumplimiento de nuestra empresa con GDPR y otras regulaciones de privacidad relevantes. El Oficial de Privacidad trabaja en estrecha colaboración con nuestros Oficiales de Protección de Datos (DPO) para establecer estructuras de gobierno de privacidad en línea con las regulaciones y requisitos internacionales y locales de protección de datos.

Cualquier consulta sobre el tratamiento de datos personales puede dirigirse a nuestros RPD, cuyos datos pueden encontrarse en las correspondientes páginas web locales de LOGEX.

Clientes de todo el mundo exigen a LOGEX que cumpla los requisitos de seguridad tanto internacionales como nacionales, cuando proceda. Para satisfacer estas necesidades, LOGEX cuenta con las siguientes certificaciones y acreditaciones de seguridad activas:

LOGEX ofrece análisis sanitarios en línea como software como servicio (SaaS), lo que significa que toda la aplicación LOGEX se ejecuta en línea, a diferencia de lo que ocurría en el pasado, cuando se requería una instalación local o del lado del cliente. Tanto los datos de nuestros clientes como la lógica de cálculo se despliegan en nuestra infraestructura en la nube. Los usuarios de nuestros clientes pueden acceder a la aplicación en cualquier ordenador con un navegador web (las especificaciones se describen más adelante).

Una plataforma SaaS nos permite escalar nuestros productos sin aumentar (linealmente) los recursos de apoyo, y nos permite garantizar que todos los clientes se benefician de tener acceso a las últimas funciones y de recibir sin demora importantes actualizaciones de mantenimiento y seguridad.

Alojamiento e infraestructura

Empleamos una arquitectura denominada "agnóstica de la nube", lo que significa que nuestra tecnología se construye con una dependencia mínima de nuestros proveedores de la nube, eliminando así cualquier riesgo potencial de dependencia de un proveedor. Este enfoque nos permite migrar rápidamente nuestros productos de un proveedor de nube a otro, para garantizar la continuidad de nuestro negocio si alguna vez estuviera en riesgo. Como se indica en el capítulo siguiente, los productos de LOGEX están alojados en diferentes proveedores de nube en diferentes países, tanto en socios internacionales como locales. Hacemos uso de diferentes proveedores de nube con el fin de respetar las regulaciones locales de privacidad, los requisitos de residencia de datos y el sentimiento local. En la medida de lo posible, utilizamos soluciones probadas suministradas por proveedores en aras de la eficacia operativa y la seguridad.

Las aplicaciones LOGEX son accesibles desde cualquier navegador moderno (Chrome y Microsoft Edge son los preferidos, el soporte de Firefox es best-effort) a través de HTTPS (no se requiere VPN). En cuanto a las especificaciones del PC, se recomiendan 8 GB de RAM y 20 Mbit de velocidad de Internet, junto con Windows 10 u 11 de 64 bits.

Las aplicaciones LOGEX funcionan como las denominadas aplicaciones de "página única", en las que los datos se cargan de forma incremental en el navegador, creando así una experiencia de usuario receptiva. La velocidad de conexión a la red y las especificaciones de memoria influirán en la rapidez con la que se cargan los datos en el navegador, ya que es probable que haya que cargar una cantidad considerable de datos.

Las aplicaciones LOGEX están diseñadas para su uso en portátiles/PC. No se recomienda su uso en tabletas y dispositivos móviles, ya que las aplicaciones LOGEX no están diseñadas para la interacción táctil.

LOGEX ha adoptado la metodología DevOps para desarrollar y operar sus aplicaciones.

Dado que los productos LOGEX a menudo se ofrecen/alojan en múltiples países, desarrollamos nuestras aplicaciones bajo la filosofía de "desarrollo centralizado, despliegue local". Nuestro equipo de desarrollo de software en constante crecimiento se encuentra en nuestro Centro de Soluciones en Brno, República Checa, compuesto por - entre otros - desarrolladores backend, desarrolladores de bases de datos, desarrolladores frontend, diseñadores UX/UI, analistas de sistemas, scrum masters y especialistas en automatización de pruebas.

Sistema de Gestión de la Seguridad de la Información (SGSI)

LOGEX ha diseñado e implementado un SGSI, que es el conjunto de responsabilidades, objetivos, políticas y controles de seguridad tecnológicos y de procedimiento para gestionar eficazmente los riesgos de seguridad de la información en nuestra organización. Nuestro SGSI se gestiona de forma centralizada y cubre todas las entidades legales anteriormente referenciadas. Nuestro SGSI está diseñado, implantado, certificado y auditado anualmente de acuerdo con las normas ISO 27001 y NEN 7510.

Pruebas de Seguridad (Escaneo de Código, Escaneo de Vulnerabilidad y Pruebas de Penetración)

Las aplicaciones y la infraestructura de LOGEX se someten a pruebas de penetración externas al menos una vez al año. Además de las actividades de pruebas de seguridad externas, LOGEX emplea una estrategia de pruebas de seguridad que cubre todo el ciclo de vida de desarrollo de software. Periódicamente comprobamos internamente las vulnerabilidades (conocidas) y los puntos débiles del software mediante el uso de herramientas de análisis estático del código, análisis de composición del software y exploración de vulnerabilidades desarrolladas por terceros o por la comunidad. La integración de estas actividades de comprobación en nuestro proceso de desarrollo nos permite

• identificar y eliminar los puntos débiles del software introducidos por errores de codificación en el momento de codificar el software de desarrollo propio
• identificar y eliminar vulnerabilidades conocidas introducidas por componentes de software de terceros/de código abierto que se integran en las aplicaciones/infraestructura de LOGEX
• identificar y eliminar vulnerabilidades en sistemas de producción

Respuesta a incidentes de seguridad

Los incidentes de seguridad se consideran una oportunidad para aprender y mejorar nuestra forma de trabajar. Por lo tanto, LOGEX anima a los empleados a informar siempre de los incidentes, independientemente del tamaño del incidente, si un empleado causó o fue testigo de un incidente, e independientemente de si una vulnerabilidad ha dado lugar a un daño real o no. Los empleados de LOGEX entienden que todos tienen una responsabilidad individual para proteger la seguridad de la organización, y la notificación de incidentes (potenciales) es un elemento clave de esta responsabilidad.

En caso de incidente de seguridad y/o violación de datos, se sigue un Procedimiento de Respuesta a Incidentes para gestionar y resolver el incidente.

Los informes de incidentes y su seguimiento se registran de forma centralizada con fines de prueba, trazabilidad y auditoría.