Seguridad en Factorial
Mantener seguros los datos de nuestros clientes es nuestra mayor prioridad.
Esta página de seguridad proporciona una visión detallada del conjunto de prácticas de seguridad que se aplican para lograr ese objetivo.
Factorial ha establecido un Sistema de Gestión de la Seguridad de la Información de acuerdo a los requisitos de la norma ISO/IEC 27001 para garantizar la continuidad de los sistemas de información, minimizar riesgos de daño y asegurar el cumplimiento de los objetivos fijados que podrás encontrar aquí:
Protección de Datos
Factorial se toma la protección de datos de sus clientes muy enserio, y es compliant con el GDPR, UK-GDPR, LGPD, CCPA y LFPDPPP.
Contrato de Encargado de Tratamiento (DPA)
Factorial HR puede ser tanto un Responsable como un Encargado de tratamiento de datos personales a los efectos del Reglamento General de Protección de Datos 2016/679 (en adelante, "GDPR"). Por ejemplo, Factorial será el Responsable del tratamiento de datos personales cuando un Cliente celebre un contrato directamente con nosotros, para el tratamiento de los datos de dicho Cliente.
Sin embargo, en la mayoría de los casos, debido a la naturaleza de nuestro negocio, Factorial no tiene una relación directa con los sujetos de los datos y procesa exclusivamente los datos personales del usuario final en nombre de los clientes y de acuerdo con sus instrucciones. Por lo tanto, si usted es un empleado que utiliza nuestra plataforma, nosotros actuamos únicamente como Encargados del Tratamiento de sus datos. Nuestros Clientes deciden los fines para los que utilizan nuestra Plataforma, así como los medios de recogida de datos de la magnitud de las funciones de nuestra plataforma.
En el caso de los usuarios que navegan por nuestra página web, Factorial será el responsable del tratamiento de los datos que aquí se recogen, como cookies, o cualquier dato que sea interesante para disfrutar nuestro contenido.
Puede encontrar el DPA de Factorial aquí.
Delegado de Protección de Datos (DPD)
Factorial HR ha designado un DPD, los datos de contacto del cual son los siguientes:
Pridatect, S.L. Av. de Josep Tarradellas, 8-10, 5º 08029 Barcelona, España. Legal@pridatect.com
Política de Brechas de Seguridad
En el caso de que Factorial detecte una brecha de seguridad, activará un procedimiento de análisis de la brecha de seguridad que permitirá conocer:
- La naturaleza de la brecha de seguridad
- Las categorías de datos personales afectados
- Número aproximado de interesados afectados
- Número aproximado de registros de datos personales afectados; y
- Consecuencias de la brecha
De forma paralela a la investigación, Factorial tomará las acciones inmediatas de contención y corrección que sean oportunas, y procederá a registrar el incidente de forma que exista trazabilidad de los incidentes acontecidos en la organización.
Realizado el análisis, Factorial determinará si la autoridad de control debe ser notificada, evaluando si la violación de los datos personales puede suponer un riesgo para los derechos y libertades de los interesados afectados por la violación.
Asimismo, Factorial determinará si es necesario notificar a los interesados.
En cualquier caso, y como encargado del tratamiento de los datos personales, Factorial comunicará la brecha de seguridad al cliente en un plazo inferior a 48h. Dicha comunicación incluirá:
- Medidas adoptadas de mitigación del riesgo
- Mejoras tecnológicas
- Cambios en la gestión de incidentes
- Actualización de procedimientos
¿Cómo comunico un incidente de seguridad a Factorial?
En caso de tener conocimiento de un incidente de seguridad en Factorial, por favor, comuníquelo a security@factorial.co.
Información a proporcional (cuando sea aplicable):
- Descripción del incidente:
- Nombre de la compañía y usuario afectado:
- Tipología de datos afectados:
- Alcance del incidente detectado:
- Grado de afectación de los derechos de los interesados:
Certificaciones
Para mostrar nuestro compromiso con la protección de los datos personales de nuestros clientes, Factorial ha invertido en obtener y mantener certificaciones en los estándares siguientes
ISO/IEC 27001:2017
Factorial cuenta con la certificación ISO/IEC 27001:2013 y ha renovado su certificación en marzo de 2023. Actualmente, este es el nivel más alto de la norma global de seguridad sobre la información disponible, el cual proporciona a los clientes la garantía de que cumplimos con rigurosos estándares internacionales en materia de seguridad.
Puede descargar nuestro certificado ISO 27001 aquí.
SOC2 Tipo I y II
Factorial dispone de informe SOC2 Tipo I a agosto de 2022 y de informe SOC2 Tipo II a febrero de 2024.
Los detalles e informes de certificación relacionados se pueden compartir previa solicitud formal y después de la firma de un NDA por parte del solicitante.
ENS (Esquema Nacional de Seguridad) nivel ALTO
Factorial ha obtenido la certificación de categoría Alta del Esquema Nacional de Seguridad. Esta certificación define los estándares de seguridad que se aplican a todas las entidades públicas de España, así como a los proveedores de servicios de los que dependen los servicios públicos. Puede descargar nuestro certificado ENS aquí.
Seguridad del Producto
En Factorial nos aseguramos de que el producto cumpla con estándares de seguridad de la información rigurosos:
Infraestructura en la nube
Todos nuestros servicios se ejecutan en la nube. No alojamos ni ejecutamos nuestros propios enrutadores, balanceadores de carga, servidores DNS o servidores físicos.
Todos los datos de nuestros clientes se almacenan en los servidores de Amazon Web Services (AWS) en Frankfurt, Alemania, un conjunto de servicios web en la nube que garantizan la máxima seguridad. Empresas como Netflix o Airbnb confían en AWS para administrar los datos de millones de usuarios.
El centro de datos de Amazon Web Services está protegido por tres capas físicas de seguridad. Asimismo, las instalaciones están protegidas contra impactos y sólo son accesibles mediante tarjeta personal intransferible y pin.
Puede leer más sobre sus prácticas de seguridad aquí: AWS
Supervisión y protección de seguridad a nivel de red
Nuestra arquitectura de seguridad de red consta de varias zonas de seguridad. Supervisamos y protegemos nuestra red para asegurarnos de que no se realice ningún acceso no autorizado mediante: Nube privada virtual (VPC), un firewall que monitorea y controla el tráfico de red entrante y saliente.
Cifrado de datos
- Cifrado en tránsito: todos los datos enviados hacia o desde nuestra infraestructura se cifran en tránsito a través de las mejores prácticas del sector utilizando Transport Layer Security (TLS). Puedes ver nuestro informe en SSLLABS
- Cifrado en reposo: Confiamos en AWS Key Management Service (AWS KMS) para administrar nuestras claves criptográficas. De forma predeterminada, se selecciona el algoritmo de cifrado "SYMMETRIC_DEFAULT", que actualmente representa AES-256-GCM, un algoritmo simétrico basado en el Estándar de cifrado avanzado (AES). Esas claves se utilizan para cifrar/descifrar nuestros depósitos S3, bases de datos, administrador de secretos, lambda, redshift y lightsail.
Retención y eliminación de datos
Por defecto y salvo instrucción expresa del cliente, Factorial ejecutará la supresión de todos los datos personales pasados 30 días de la cancelación de la prestación de los servicios de tratamiento. Tras el periodo de 1 año Factorial suprimirá todas las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros o que el Cliente solicite expresamente la supresión definitiva de dichos datos durante dicho periodo.
Aplicación de monitorización de seguridad
- Usamos tecnologías para monitorear excepciones, registros y detectar anomalías en nuestras aplicaciones.
- Recopilamos y almacenamos registros para proporcionar un seguimiento de auditoría de la actividad de nuestras aplicaciones. Según el plan elegido por nuestros clientes, los administradores pueden realizar un seguimiento de todas las acciones y el uso de los registros de los empleados en la plataforma y obtener una mayor visibilidad. Puede encontrar más información sobre los registros de auditoría aquí.
Desarrollo seguro
Desarrollamos siguiendo las mejores prácticas y marcos de seguridad (OWASP Top 10, SANS Top 25) para garantizar el más alto nivel de seguridad en nuestro software:
- Revisamos periódicamente nuestro código en busca de vulnerabilidades de seguridad. - Actualizamos regularmente nuestras dependencias y nos aseguramos de que ninguna de ellas tenga vulnerabilidades conocidas - Utilizamos pruebas de seguridad de aplicaciones estáticas (SAST) para detectar vulnerabilidades de seguridad en nuestra base de código y hacer cumplir los estándares de código. - Verificamos periódicamente los incidentes de seguridad, informados por cazadores de recompensas de errores o proveedores de pentest, y los solucionamos con entusiasmo. Nuestro último pentest fue realizado por Cobalthttps://cobalt.io/ Las pruebas de vulnerabilidad internas se realizan continuamente, así como las pruebas de penetración continuas a través de HackerOne. (https://hackerone.com/factorial). - Mantenemos secretos lejos del código. - Mantenemos las imágenes del sistema operativo y Docker actualizadas y ejecutamos los servicios con un rol sin privilegios
- Aseguramos la separación de ambientes y segregación de funciones durante el proceso de desarrollo. Los desarrolladores no tienen la capacidad de migrar cambios a entornos de producción.
Protección de usuario
- Protegemos a nuestros usuarios contra las filtraciones de datos al monitorear y bloquear los ataques de fuerza bruta.
- El inicio de sesión único (SSO) está disponible mediante la cuenta de Google, Microsoft y Linkedin.
- El control de acceso basado en permisos se ofrece en todas nuestras cuentas y permite a nuestros usuarios definir permisos.
- Usamos AWS Cognito, por lo que, de forma predeterminada, admitimos la autenticación multifactor.
- Utilizamos las herramientas de seguridad de Github para recibir alertas en caso de vulnerabilidad. El equipo de seguridad aplica parches de manera rutinaria.
- Realizamos revisiones de derechos de acceso trimestrales sobre nuestras aplicaciones críticas, incluidos pasos como la revisión de autorizaciones, cuentas genéricas y garantizar que se elimine el acceso de los empleados despedidos.
Información de pago
Todo el procesamiento de instrumentos de pago se subcontrata de forma segura con Stripe, que está certificado como proveedor de servicios de nivel 1 de PCI. No recopilamos ninguna información de pago y, por lo tanto, no estamos sujetos a las obligaciones de PCI.
Seguridad interna
En Factorial nos aseguramos de implementar políticas y protocolos internos para cumplir con estándares de seguridad internacionalmente reconocidos.
Seguridad de la cuenta
- Administramos las cuentas de manera centralizada
- Confiamos en un sistema de administración de contraseñas
- Utilizamos cuentas nominales con 2FA implementado
- Rotamos las contraseñas cada 90 días
- Hacemos los onboardings y offboardings de los nuevos empleados utilizando un checklist que tiene en cuenta las mejores practicas de seguridad.
- Nos aseguramos de que los privilegios de acceso cumplan con el principio de mínimo privilegio.
Seguridad Física
- Utilizamos medidas de seguridad física en la oficinas para asegurarnos de que solo nuestros empleados tienen acceso a las mismas.
- Recordamos a nuestros empleados de manera rutinaria el bloqueo de sus ordenadores.
- Hemos establecido procedimientos en términos de uso de dispositivos móviles y medios extraíbles
Formación
Nos aseguramos de que todos nuestros empleados cuenten con formación específica en protección de datos y en seguridad de la información. Además, hay capacitaciones y talleres de seguridad dirigidos a prácticas de desarrollo de software seguro.
Verificaciones de antecedentes
Llevamos a cabo verificaciones de antecedentes para potenciales incorporaciones.
Acuerdo Nivel de Servicio (SLA)
Este Acuerdo Nivel de Servicio ("SLA") rige el uso de Factorial bajo las disposiciones de los Términos de Servicios.
Disponibilidad
Factorial hará todo lo que esté en sus manos para estar disponible con un porcentaje mensual de al menos 99,9%. Sujeto a las Exclusiones de SLA, si no cumplimos con el Compromiso de servicio, el cliente será elegible para recibir un Crédito de servicio. Esto significa que garantizamos que el cliente no experimentará más de 43,5 min/mes de Indisponibilidad.
Mantenemos una fuente públicamente disponible para nuestro tiempo de actividad en https://status.factorialhr.com. Por favor, no dude en suscribirse para recibir actualizaciones de incidentes.
Copias de seguridad, recuperación ante desastres y continuidad del negocio
Factorial realiza copias de seguridad de los datos diariamente y conserva las copias de seguridad durante 30 días. La alta disponibilidad está garantizada con RDS Multi-AZ. Dado que para tener pérdida de datos, ambas zonas de disponibilidad deberían tener un incidente al mismo tiempo, esto disminuye la posibilidad de pérdida de datos. Nuestro objetivo de tiempo de recuperación (RTO) es 1 hora y nuestro objetivo de punto de recuperación (RPO) es de 1 día.
Los planes relacionados con la continuidad del negocio y la recuperación ante desastres se documentan formalmente según los requisitos del marco ISO27001 y SOC2.
Créditos de Servicio
Los Créditos de servicio se calculan como un porcentaje de los cargos totales adeudadas en su factura de Factorial para el ciclo de facturación mensual en el que ocurrió la Indisponibilidad.
Para un porcentaje de tiempo de actividad mensual inferior al 99,9%, será elegible para un crédito de servicio del 5% si los cargos del período actual.
Aplicaremos los Créditos de servicio solo en relación a pagos futuros por la prestación de servicios.
Solicitud de Crédito y Procedimientos de Pago
Para recibir un Crédito de servicio, deberá presentar una reclamación enviando un correo electrónico a support@factorial.co indicando las fechas y horas de cada incidente de indisponibilidad detectado.
Si confirmamos el porcentaje de tiempo de actividad mensual de dicha solicitud y es menor que el Compromiso de Servicio, emitiremos el Crédito de servicio dentro del ciclo de facturación del mes siguiente en el que se haya realizado la solicitud confirmada por nosotros.
En caso de que el cliente no haga la solicitud o no proporcione la información requerida arriba, será descalificado de la recepción del crédito de servicio.
Exclusiones del SLA
El compromiso de Servicio no se aplica a ninguna indisponibilidad:
- Causada por factores fuera del control razonable de Factorial, incluido cualquier evento de fuerza mayor, acceso a Internet o problemas más allá del punto de demarcación de Factorial.
- Que resulte de cualquier acción o inacción del cliente con un tercero.
- Que resulte del equipo, software u otra tecnología suya o de un tercero (que no sea equipo de terceros bajo nuestro control directo).
- Que resulte de cualquier Mantenimiento.
Si la disponibilidad se ve afectada por factores distintos a los utilizados en nuestro cálculo del porcentaje de tiempo de actividad mensual, emitiremos un crédito de servicio considerando dichos factores a nuestra discreción.
Confidencialidad
Factorial y el cliente se comprometen a mantener reservada y confidencial la existencia y el contenido de toda la documentación e información que se facilite, transmita o divulgue , y a no hacerla pública sin la previa autorización por escrito de la otra parte.
¿Qué considera Factorial Información Confidencial?
De forma enunciativa pero no limitativa, se entenderá como Información Confidencial la información referida a datos de clientes, su existencia, su estructura, planes de promoción y venta, códigos fuente y objeto de programas informáticos, sistemas, técnicas, inventos, procesos, patentes, marcas, diseños registrados, derechos de autor, know-how, nombres comerciales, datos técnicos y no técnicos, dibujos, bocetos, datos financieros, planes relativos a nuevos productos, datos relativos a clientes o potenciales clientes así como cualquier otra información utilizada en el ámbito empresarial de Factorial y del Cliente.
¿Cuánto durará el deber de confidencialidad?
La obligación de confidencialidad subsistirá incluso después de la resolución, por cualquier causa, de la relación contractual entre las partes sin que se genere ningún tipo de indemnización.
¿Qué pasaría si se rompieran las obligaciones de confidencialidad?
El incumplimiento de la obligación de confidencialidad asumida en este acuerdo o la devolución de la Información Confidencial establecida anteriormente, dará derecho a cualquiera de las Partes a reclamar el importe íntegro de los daños y perjuicios que dicho incumplimiento hubiera generado.
Certificados y protocolos de seguridad
Todos los datos de nuestros clientes se almacenan en los servidores de Amazon Web Services (AWS) en Alemania, un conjunto de servicios web en la nube que garantiza su máxima seguridad.
El centro de datos de Amazon Web Services está defendido por tres capas físicas de seguridad. Asimismo, las instalaciones están protegidas ante impactos y sólo son accesibles mediante una tarjeta y pin personal intransferibles.
¿Tienes alguna pregunta más?
No dudes en enviar un email a privacy@factorial.co.