Medidas técnicas y organizativas de seguridad y protección de datos

Actualizado el 28 de agosto de 2023

Introducción

Edusign pretende ser lo más transparente posible a la hora de gestionar sus datos. Para más información, puede consultar nuestra política de privacidad y nuestra página sobre el RGPD.

Hemos establecido medidas técnicas y organizativas para proteger sus datos personales. Estas medidas se actualizan periódicamente para ofrecer el mejor nivel de protección posible.

Transferencia de datos y encriptación

Toda la cadena de procesamiento de datos está protegida mediante cifrado.

Edusign utiliza tecnologías de cifrado modernas que cumplen las normas establecidas por la ANSSI.

• Transacciones seguras mediante cifrado TLS desde y hacia nuestros servicios.
• Cifrado en reposo de los documentos antes y después de la firma mediante cifrado AES-256 bits.
• Uso de claves superiores a 2048 bits y protocolos seguros como RSA.

Certificaciones

Edusign dispone de certificados de firma electrónica, sello electrónico y sellado de tiempo. Los detalles de estos certificados pueden solicitarse a support@edusign.fr

Para garantizar que seguimos cumpliendo la normativa, realizamos auditorías periódicas.

Seguridad en el desarrollo

Se han establecido procesos de desarrollo internos para que nuestros equipos garanticen un desarrollo seguro de nuestra solución.

Un responsable de seguridad se encarga de organizar, dirigir y supervisar las medidas de seguridad para gestionar la seguridad del sistema de información.

• Seguimiento de las mejores prácticas dictadas por el Open Web Application Security Project (OWASP).
• Enfoque de « seguridad por diseño ».   Es decir, el desarrollo no tiene lugar hasta que se hayan analizado las consecuencias para la seguridad.
• Pruebas automáticas y manuales.
• Revisiones y modificaciones del código.
• Revisión por pares.

Gestión del personal

Todos los empleados de Edusign están familiarizados con las herramientas informáticas. Están formados en las buenas prácticas de seguridad informática recomendadas por la ANSSI. Además, los empleados se mantienen al día de las últimas prácticas y desarrollos tecnológicos en materia de seguridad informática.

Los empleados de Edusign actúan con pleno conocimiento de causa y hacen todo lo posible para proteger sus datos personales.

Se aplican las siguientes medidas :

• Formación en seguridad de la información y protección de datos personales para los nuevos empleados.
• Comunicaciones periódicas a todos los equipos para sensibilizarlos.
• Política de gestión de accesos y roles
• Política de gestión de contraseñas
• Compromiso de confidencialidad

Hemos implantado una política de gestión de funciones y, como tal, limitamos el acceso a la función de cada empleado de acuerdo con el principio del menor privilegio. La gestión de derechos se revisa trimestralmente.

Acceso a la infraestructura

Edusign se apoya en socios de alojamiento para garantizar una seguridad óptima de sus infraestructuras, habiendo implantado en particular una política de seguridad de los sistemas de información que responde a las exigencias de varias normas y certificaciones (certificación PCI-DSS, certificación ISO/IEC 27001, atestaciones SOC 1 TIPO II y SOC 2 TIPO II, etc.).

Gestión del acceso físico:

• Verificación de la identidad.
• Gestión centralizada de las puertas de acceso mediante un sistema de tarjetas de identificación.
• Esclusa unipersonal.
• Equipos de vigilancia.

Control de acceso lógico a los datos:

• Política de gestión de contraseñas.
• Cortafuegos y antivirus actualizados periódicamente.
• Política de registro y control de acceso documentada.

Detección de vulnerabilidades

Edusign realiza análisis periódicos para detectar posibles vulnerabilidades. Edusign también recurre a terceros para afinar estos análisis. A continuación, se establecen medidas para eliminar o limitar estas vulnerabilidades. He aquí una lista no exhaustiva de los protocolos aplicados:

• Programa de recompensas por fallos
• Análisis periódicos de vulnerabilidades
• Alerta y vigilancia de vulnerabilidades
• Revisión de códigos

Gestión de incidentes

En caso de que un fallo en el programa de detección de vulnerabilidades provoque un ataque, Edusign se compromete a notificar a los clientes y a las autoridades pertinentes la información necesaria para gestionar las vulnerabilidades de la forma más eficaz posible.

Edusign responderá lo antes posible a las solicitudes de las autoridades y los clientes en relación con este fallo.

Hasta la fecha, Edusign no ha informado de ninguna vulnerabilidad en su sistema informático que haya dado lugar al acceso a datos personales. Estamos haciendo todo lo posible para garantizar que esto siga siendo así.

Disponibilidad de los servicios y copia de seguridad de los datos

Edusign hace todo lo posible para garantizar una alta disponibilidad y continuidad de los servicios. Sus datos se almacenan en servidores seguros con una copia de seguridad diaria en otro servidor. Lista no exhaustiva de protocolos en vigor:

• Monitorización en tiempo real de servidores y bases de datos con alertas
• Protocolos de notificación en caso de fallo de un socio
• Servidores escalables con copias de seguridad redundantes
• Pruebas de vulnerabilidad e intrusión
• Plan de continuidad de la actividad
• Plan de recuperación en caso de catástrofe

En caso de indisponibilidad de nuestros servicios, Edusign informará a sus usuarios por cualquier medio.

Si tiene alguna pregunta sobre las medidas técnicas y organizativas de seguridad y protección de datos, póngase en contacto con support@edusign.fr.