Conviva Seguridad

Conviva es una fuente confiable de datos de medición para la transmisión de multimedia y nos esforzamos por mantener seguros todos los datos a los que accedemos, almacenamos y procesamos. Hemos dividido nuestras medidas de seguridad en las siguientes categorías para resumir mejor la exhaustividad de nuestras políticas y prácticas de seguridad: (1) Seguridad en la nube y terceros, (2) Seguridad del producto, (3) Seguridad corporativa y (4) Privacidad & Cumplimiento.

Seguridad en la nube y terceros

Seleccionamos cuidadosamente a nuestros proveedores y subprocesadores externos para garantizar que solo trabajemos con partes que puedan manejar de manera segura los datos que procesamos. Específicamente, en lo que se refiere a los datos personales que recopilamos o que usted como cliente nos proporciona con el fin de brindarle servicios ("Servicios"), exigimos a todos nuestros subprocesadores la misma gestión de datos, seguridad y prácticas y estándares de privacidad a los que nos sometemos. Esto significa que revisamos diligentemente las medidas de seguridad técnicas, administrativas y físicas de cada parte antes de contratar con ellos para garantizar la coherencia de extremo a extremo con respecto a los flujos y el procesamiento de datos de nuestros clientes. Además, si alguno de nuestros proveedores o subprocesadores transfiere datos personales fuera de la UE, nos aseguramos de que existan los mecanismos de transferencia necesarios para cumplir con el RGPD.

Un componente clave de nuestro manejo de datos gira en torno al alojamiento y almacenamiento de datos. Aprovechamos Amazon Web Services ("AWS"), Google Cloud Platform y Equinix para alojar nuestros Servicios. Las estadísticas y los metadatos de nuestro servicio se procesan y almacenan en los Estados Unidos. Nuestros clientes pueden estar seguros de que nuestros principales proveedores externos almacenan de forma segura nuestros datos y cumplen con SOC. Por ejemplo, AWS y Google Cloud Platform cumplen con SOC-1, SOC-2 y SOC-31. Equinix cumple con SOC-1 y SOC-22.

Cuando se trata del procesamiento de los datos personales de nuestros Clientes, se puede encontrar una lista de nuestros subprocesadores actuales en https://www.conviva.com/conviva-subprocessors/.

Seguridad del producto

Mantenemos un programa de seguridad de la información que examina exhaustivamente todos los aspectos de la plataforma de Conviva y sus dispositivos y productos conectados. Esta sección explica las medidas que hemos desarrollado para su acceso seguro a nuestros Servicios y cómo se mantiene la seguridad desde dentro del producto.

Seguridad de la aplicación

Seguimos las prácticas del ciclo de vida de desarrollo de software seguro ("SDLC") para el desarrollo de nuestros Servicios. Nuestros desarrolladores están capacitados en convenciones de codificación segura y se les mantiene informados sobre las últimas técnicas de codificación segura. El código se revisa regularmente por pares antes de comprometerse con la rama del código maestro. Realizamos pruebas de penetración de aplicaciones contra nuestros Servicios anualmente utilizando proveedores de servicios de pruebas de penetración de terceros de buena reputación. También realizamos análisis de vulnerabilidades y cualquier reparación necesaria trimestralmente y durante las actualizaciones de software importantes. Admitimos el inicio de sesión único (SSO) para nuestros Servicios.

Seguridad de Redes y Sistemas

Implementamos las mejores prácticas de la industria en el diseño y la configuración de nuestra red, y utilizamos equipos de red líderes en la industria para proporcionar una plataforma de red segura y confiable. El acceso a la red de los servicios SaaS de Conviva solo está disponible mediante HTTPS para garantizar que los datos se transporten de forma segura.
La red de Conviva está segmentada para aislar completamente las redes de producción, puesta en escena, control de calidad, desarrollo y corporativa. Además, el acceso a todos los dispositivos de red, firewalls y servidores de Conviva para la administración requiere acceso VPN con autenticación multifactor.

Todos los servidores nuevos que implementamos en producción se fortalecen al deshabilitar todos los servicios innecesarios y potencialmente inseguros, eliminar las contraseñas predeterminadas y aplicar los ajustes de configuración personalizados de Conviva a cada servidor antes del uso en producción. También analizamos nuestra red y nuestros sistemas en busca de vulnerabilidades y realizamos las correcciones necesarias, trimestralmente y durante las principales actualizaciones de software.

Supervisión
Supervisión del tiempo de actividad

Supervisamos la disponibilidad del servicio para los servicios de la plataforma Conviva accesibles desde el exterior. Además, Conviva emplea una variedad de servicios de monitoreo empresarial y de código abierto y soluciones de monitoreo desarrolladas internamente para monitorear los servicios de aplicaciones e infraestructura de extremo a extremo de Conviva.

Registro y alertas

El equipo de seguridad de la información de Conviva recopila, procesa y almacena registros de producción en un sistema centralizado de gestión de registros a prueba de manipulaciones. Los registros se conservan durante al menos doce meses. El análisis de registros está automatizado en la medida de lo posible para detectar problemas y anomalías de seguridad y está configurado para proporcionar alertas con el fin de administrar incidentes.

Continuidad del negocio y recuperación ante desastres
Infraestructura de alojamiento

Nuestros servidores alojados por terceros utilizan una combinación de fuentes de alimentación ininterrumpida y generadores para mantener la energía en caso de un apagón.

Mantenemos sistemas distribuidos para evitar posibles puntos únicos de falla. Mantenemos nuestro equipo de acuerdo con los estándares de la industria y eliminaremos cualquier equipo no confiable u obsoleto. Los puntos únicos de falla se evitan siempre que sea posible en la arquitectura de Conviva, y los sistemas de reserva se mantienen cuando es necesario para reemplazar los sistemas que fallan. Del mismo modo, los componentes de software fallidos se depuran y reemplazan cada vez que ocurren fallas.

Calcular redundancia

Nuestra plataforma informática es un sistema distribuido con múltiples copias de datos en regiones dispares. Por lo tanto, el sistema puede tolerar fallas múltiples de nodos dentro de una sola región sin perder datos. Los nodos que no funcionan se evalúan y reemplazan según sea necesario para mantener la integridad del sistema y de los datos. Si se pierden datos en una región determinada, se pueden restaurar desde otras regiones. Este proceso se prueba periódicamente y se utiliza según sea necesario para mantener la integridad de los datos en todas las regiones.

Plan de recuperación en un desastre

Nuestro plan de recuperación ante desastres incorpora la conmutación por error local de recursos en nuestro entorno operativo principal con conmutación por error geográfica a otras ubicaciones operativas en múltiples geografías del mundo. Conviva conserva una copia de seguridad completa de los datos de producción en una ubicación remota y distante separada de la ubicación operativa principal donde se procesan nuestros Servicios. Las copias de seguridad completas se guardan en esta ubicación remota y las transacciones se guardan diariamente. Probamos nuestras copias de seguridad regularmente para asegurarnos de que se puedan restaurar con éxito.

Seguridad y monitoreo de puntos finales

Nuestros sistemas de usuario están configurados para ejecutar una gran cantidad de herramientas de monitoreo, administración de configuración y antivirus que ayudan a detectar código sospechoso, configuraciones inseguras y comportamiento del usuario. Nuestro equipo de TI supervisa las alertas de las estaciones de trabajo y garantiza que estos problemas se resuelvan de manera oportuna.

Seguridad de datos

La seguridad y protección de los datos de los clientes en Conviva implica el cifrado de datos, los controles administrativos de acceso a los datos y la retención y destrucción de datos.

Cifrado y protección de datos

Cortafuegos, enrutadores y conmutadores Las listas de control de acceso se utilizan para proteger el ingreso a la red. El acceso administrativo se realiza a través de SSH usando claves privadas y/o SSL para portales web usando contraseñas cuando sea necesario.

El cifrado se utiliza para transmitir datos desde los dispositivos de los clientes a Conviva. Cualquier información confidencial del cliente almacenada en la base de datos, incluidas las contraseñas de Conviva y del sistema externo, se cifra o se cifra cuando es posible.

Las cuentas de administrador se otorgan solo a aquellos que necesitan ese nivel de acceso para administrar la cuenta de ese Cliente específico y se revocan con la partida o el cambio de responsabilidades de ese empleado.

Los nombres de usuario, las contraseñas, las funciones y los permisos basados en el acceso se utilizan en todos los sistemas de Conviva para garantizar que solo las personas autorizadas tengan acceso a los sistemas y datos apropiados que son específicos para la función de esa persona. Las claves privadas se utilizan según sea necesario.

Mantenemos registros de acceso a todos los sistemas y datos y evaluaremos cualquier posible violación de seguridad y notificaremos a los clientes de manera adecuada. Se realizarán autopsias para determinar si se requiere alguna remediación posterior al incumplimiento, y luego dicha remediación se llevará a cabo lo más rápido posible.

Los registros a nivel del sistema y de la aplicación se mantienen para los accesos intentados, fallidos y exitosos a los sistemas de Conviva.

Seguridad corporativa

Mantenemos un conjunto de políticas, procedimientos y pautas de seguridad de la información que deben seguir todos nuestros empleados y contratistas de Conviva para garantizar la seguridad de los Servicios, la plataforma y los datos de Conviva. Estos procedimientos, políticas y pautas son documentos vivos que los equipos legales y de seguridad de la información de Conviva revisan y actualizan regularmente según sea necesario para adaptarse a los cambios en la tecnología y la ley y las nuevas formas de intrusión. Un enfoque clave de nuestras políticas de seguridad también incluye un Plan de respuesta a incidentes para proporcionar un enfoque bien definido y organizado para manejar cualquier amenaza a las computadoras y los datos, así como tomar las medidas apropiadas cuando la fuente de la intrusión o el incidente ocurra en un tercero. El sitio de la fiesta se remonta a Conviva. Este plan identifica y describe las funciones y responsabilidades del Equipo de Respuesta a Incidentes para que los miembros del equipo de Conviva puedan actuar rápidamente al enterarse de cualquier amenaza.

Nuestro Departamento de Recursos Humanos también realiza verificaciones de antecedentes que incluyen verificaciones de antecedentes penales, educativos y de empleo para todos nuestros empleados y contratistas contratados directamente. Antes de obtener acceso inicial a los sistemas, todos los trabajadores deben aceptar los términos de confidencialidad, pasar una verificación de antecedentes y asistir a una capacitación en seguridad. Esta capacitación cubre temas de privacidad y seguridad, incluida la seguridad del dispositivo, el uso aceptable, la prevención de malware, la seguridad física, la privacidad de los datos, la administración de cuentas y la notificación de incidentes. La capacitación de cumplimiento se administra anualmente para garantizar que todo el personal se mantenga actualizado sobre los últimos protocolos de seguridad. Los empleados también reciben capacitación cruzada para garantizar que ningún empleado sea el único punto de conocimiento en caso de interrupciones del sistema. Tras la terminación de un empleado o contratista con Conviva, el acceso de esa persona a los sistemas de Conviva se desactiva inmediatamente.

Privacidad y Cumplimiento

Como subprocesador, comprendemos la importancia de proteger los datos al prestar los Servicios. En términos de datos personales o información de identificación personal, nuestros clientes pueden pasarnos o indicarnos que recopilemos y procesemos direcciones IP, números de identificación del espectador, números de identificación del dispositivo e información de geolocalización para que podamos proporcionar nuestros Servicios. Podemos codificar o anonimizar la información personal. Por ejemplo, cuando se trata de direcciones IP, podemos convertirlo de forma anónima en un número de identificación de instancia que se genera aleatoriamente y no se puede relacionar con la dirección IP. A partir de entonces, eliminamos la dirección IP y cualquier información identificable del cliente procesada a partir de ella se eliminará aún más según nuestra política de retención de datos. Con respecto a los empleados de nuestros clientes, recopilaremos las credenciales de inicio de sesión del sitio web, incluidos el nombre, la dirección de correo electrónico y las contraseñas para permitir que el personal del cliente tenga acceso al sistema Pulse de Conviva para ver las métricas de datos relacionadas con nuestros Servicios.

Se puede acceder a la política de privacidad completa de Conviva en: https://www.conviva.com/legal/. Conviva también se compromete a garantizar que sus Servicios cumplan con el RGPD y ha formalizado su política aquí: https://www.conviva.com/legal/#GDPR.

Período de retención de datos personales

En el curso de la prestación de nuestros Servicios, recopilamos y procesamos ciertos datos que pueden considerarse datos personales o información de identificación personal ("Datos personales") según las leyes de privacidad de datos aplicables. Conservamos dichos Datos personales durante períodos prescritos según las instrucciones de nuestros clientes y de conformidad con las leyes de privacidad de datos aplicables.

Capacidad para cambiar o eliminar información y ejercer otros derechos

De acuerdo con las leyes de privacidad de datos aplicables, nuestros clientes pueden solicitar acceso a, o que modifiquemos, eliminemos o dejemos de recopilar, los Datos personales de sus empleados y/o usuarios finales. Estas solicitudes pueden enviarse a través de un formulario de soporte que se encuentra en el menú desplegable de ayuda de nuestro portal web para clientes conocido como Pulse. Responderemos a las solicitudes enviadas correctamente dentro de los 30 días, a menos que le indiquemos que necesitamos más tiempo para responder. Es posible que necesitemos información adicional para verificar la identidad del solicitante a fin de que podamos responder a la solicitud. En determinadas circunstancias, es posible que no podamos dejar de procesar los Datos personales y, si ese es el caso, le proporcionaremos una explicación. En caso de que se nos solicite que eliminemos y dejemos de recopilar Datos personales, ciertas capacidades de nuestros Servicios pueden verse afectadas. Cualquier pregunta o solicitud de asistencia con lo anterior debe dirigirse a nuestro equipo de atención al cliente en support@conviva.com.

Si conservamos los Datos personales de una persona y se recopilaron y/o procesaron en relación con nuestros Servicios para un cliente, dicha persona deberá comunicarse directamente con el cliente para ejercer sus derechos con respecto a los Datos personales en virtud de la privacidad de datos aplicable. leyes De acuerdo con dichas leyes, responderemos a tales solicitudes solo bajo la dirección de nuestros clientes.

Preguntas

Si tiene preguntas generales sobre la seguridad de los Servicios de Conviva o sobre cualquier tema mencionado anteriormente, comuníquese con nosotros a:

Conviva Inc.
Asuntos Legales-Política de Privacidad
989 East Hillsdale Boulevard, Suite 400
Ciudad de Foster, CA 94404
EE.UU
(650) 401-8282
privacidad@conviva.com

Si se encuentra en la Unión Europea, puede comunicarse con el representante de Conviva en la UE en:

Conviva Ltda.
2-7 Clerkenwell Green, Londres, EC1R 0DE, Reino Unido
Reino Unido Atención: Gerente General
privacidad@conviva.com

 

 

1Se puede acceder a información adicional sobre la seguridad de AWS en los siguientes enlaces:
http://aws.amazon.com/security/sharing-the-security-responsibility
https://aws.amazon.com/security/
https://aws.amazon.com/compliance/
https://aws.amazon.com/compliance/soc-faqs/
Seguridad de la plataforma en la nube de Google: https://cloud.google.com/security/compliance/#/

2Se puede acceder a información adicional sobre la seguridad de Equinix en
http://www.equinix.com/services/data-centers-colocation/standards-compliance/.