Póngase en contacto con

Centro de confianza

Bienvenido a Trust Center

Nosotros, como A1 Digital se han comprometido a mantener la confidencialidad, integridad y disponibilidad de todos los datos de nuestros socios y clientes. Por lo tanto, este sitio es su puerta de entrada a la comprensión de la devoción de A1 Digital a la seguridad cibernética, privacidad de datos, y el cumplimiento. Aquí podrá encontrar todas nuestras certificaciones, informes externos, documentación de cumplimiento, así como respuestas a las preguntas más frecuentes relacionadas con la seguridad y la privacidad. Para nosotros es especialmente importante ser lo más transparentes posible con nuestros clientes y socios para mejorar constantemente la confianza en nuestras capacidades. Este portal está diseñado para ofrecerle toda la información necesaria para que confíe en nuestra capacidad para proteger sus datos.

A1 ESG Identifier Std RGB

Clasificaciones ESG

Las agencias de calificación evalúan anualmente las actividades sostenibles del Grupo A1, que figura en los índices de sostenibilidad más importantes. Los resultados confirman que el Grupo va por buen camino para asumir un papel pionero en materia de sostenibilidad en el sector de las tecnologías de la información y la comunicación.

Seguir leyendo

Índice de contenidos

- Principios corporativos de seguridad

- Controles de seguridad/privacidad en nuestro ciclo de vida de desarrollo de software

- Gobernanza de la seguridad/privacidad

- Privacidad de datos y medidas legales

- Informar de una vulnerabilidad

- PREGUNTAS FRECUENTES

- Descargas

Principios de seguridad empresarial

  • Formación en seguridad/privacidad para empleados: Seguimos un plan de formación anual para todo nuestro personal, que abarca el uso seguro de los datos, la seguridad de las contraseñas, la concienciación sobre la ingeniería social, el GDPR y temas de cumplimiento. El plan de formación también incluye ejercicios de ingeniería social, como pruebas de phishing.
  • Cifrado en tránsito: Nuestros productos utilizan cifrado de última generación para proteger la transmisión de sus datos a través de Internet.
  • Control de acceso: Utilizamos procesos y sistemas de gestión de usuarios para garantizar los principios de mínimo privilegio y necesidad de conocer. Los derechos y funciones de nuestros usuarios se revisan periódicamente.
  • SSO interno: utilizamos un servicio de inicio de sesión único para agilizar la autenticación en nuestra infraestructura y aplicaciones internas.
  • Seguridad de contraseñas: Nuestra política de contraseñas sigue las prácticas más avanzadas e incluye un requisito para el uso de MFA en todos los sistemas. Las contraseñas se almacenan cifradas en un gestor de contraseñas gestionado por la empresa.
  • Registro: Hemos habilitado el registro de eventos de seguridad relevantes en nuestro entorno.
  • Gestión de eventos e información de seguridad: Los registros de seguridad relevantes de nuestra infraestructura se almacenan de forma centralizada y se protegen de accesos no autorizados. Las alarmas se crean automáticamente para varias amenazas potenciales a la seguridad.
  • Protocolo de tiempo de red: Nuestros sistemas utilizan los mismos servidores horarios estándar en toda nuestra infraestructura.
  • Supervisión: Nuestros sistemas y servicios están sujetos a un control de disponibilidad. Las alarmas están configuradas para notificar a tiempo en caso de una interrupción no planificada.
  • Seguridad de la infraestructura: Utilizamos técnicas de infraestructura como código para desplegar recursos de forma segura en nuestro entorno.
  • Copias de seguridad y restauración: Realizamos copias de seguridad con regularidad. Para garantizar la calidad de las copias de seguridad, realizamos pruebas de restauración para poder restaurar rápidamente nuestros productos en caso de pérdida de datos.
  • Eliminación de datos: Disponemos de procedimientos y medidas técnicas para garantizar que sus datos se borran una vez finalizado nuestro contrato con usted o a petición suya.
  • Seguridad de los terminales: Nuestros puntos finales están equipados con cifrado de disco completo, filtrado DNS para proteger el tráfico web, así como un sistema de detección y respuesta de puntos finales (EDR) para proteger contra malware y otros ataques.
  • Protección del correo electrónico: Utilizamos un sistema de protección del correo electrónico que también analiza los enlaces y archivos adjuntos de nuestro flujo de correo en busca de amenazas de seguridad.
  • Prevención de pérdida de datos: Los soportes extraíbles en los terminales están restringidos. Los terminales están equipados con un sistema de prevención de pérdida de datos para detectar e impedir la filtración de datos.
  • Centro de operaciones de seguridad
  • Capacidades multicliente: La arquitectura de nuestros productos garantiza que los datos de los clientes estén adecuadamente separados entre sí.
  • Separación de entornos: Los datos de los clientes nunca se transfieren a entornos que no sean de producción.
  • Cortafuegos: Utilizamos cortafuegos para supervisar y controlar el tráfico en nuestra infraestructura.
  • Seguridad física: Como no operamos nuestros propios centros de datos, para la seguridad física de nuestra infraestructura confiamos en nuestro proveedor de nube Exoscale: www.exoscale.com/compliance

Controles de seguridad/privacidad en nuestro ciclo de vida de desarrollo de software

  • Política de desarrollo seguro: Nuestra política de desarrollo establece controles de seguridad y privacidad en todo el ciclo de vida del desarrollo, desde el diseño hasta la implantación.
  • Análisis del código: Utilizamos herramientas para identificar problemas en nuestro código y en las dependencias de terceros.
  • Pruebas de seguridad: Cada vez que lanzamos un nuevo producto o publicamos una actualización importante, nos aseguramos de que se realice una prueba de penetración exhaustiva para identificar posibles riesgos derivados de vulnerabilidades, configuraciones inseguras o cifrados obsoletos.
  • Formación de desarrolladores: Nos aseguramos de que nuestros desarrolladores internos reciban formación periódica en técnicas y tecnologías de desarrollo de software seguro.

Gobernanza de la seguridad y la privacidad

A continuación encontrará un extracto de nuestro marco político actual:

  • Política de uso aceptable: No sólo enseñada, sino también vivida por nuestros empleados.
  • Política de control de acceso: Cómo puede alguien acceder a qué - debe haber una guía, ¿verdad?
  • Código de conducta: ¡Compórtate!
  • Política de criptografía: Cómo se gestionan las claves y qué normas y procedimientos de cifrado son válidos para nuestros fines.
  • Política de gestión de datos: Cómo clasificar los datos.
  • Política de respuesta a incidentes: Estar preparados en caso de incidente relacionado con la seguridad, y formarse periódicamente.
  • Política de seguridad de la información: Funciones y responsabilidades de nuestros empleados.
  • Política de seguridad de las operaciones: En caso de que se produzca un incidente necesitará datos: cómo registrar y supervisar nuestra red.
  • Política de gestión de riesgos: Realizamos evaluaciones de riesgos de forma periódica.
  • Política de desarrollo seguro: Qué debo tener en cuenta como desarrollador.
  • Política de gestión de terceros La confianza es buena, pero el control es mejor: no sólo nos exigimos seguridad a nosotros mismos, sino también a nuestros proveedores.
  • Política de gestión de vulnerabilidades: Cómo deshacerse de las vulnerabilidades.
  • Política de BCM: Tenemos un plan formal de Continuidad de Negocio y Recuperación de Desastres, que se ejercita, revisa y aprueba anualmente.

Privacidad de datos y medidas legales

  • Cookies: Consulte nuestra Política de privacidad para obtener más información sobre el uso que hacemos de las cookies.
  • Uso de la IIP: No utilizamos la información personal que se nos proporciona o que se carga en nuestros productos para otros fines que no sean los definidos en nuestra Política de Privacidad y Términos y Condiciones.
  • Notificaciones de violación de datos: De acuerdo con nuestros requisitos de GDPR, así como de ISO 27701/27018, le notificaremos lo antes posible las violaciones de datos que incluyan sus datos.
  • Responsable de privacidad de datos: Consulte nuestra Política de privacidad para obtener información de contacto.
  • Evaluación del impacto de la transferencia de datos: Tenemos un número muy limitado de proveedores fuera de la Unión Europea y de países no pertenecientes a la UE con un nivel adecuado de protección de datos. Para esos pocos proveedores realizamos una evaluación exhaustiva del riesgo para la privacidad en relación con la transferencia de datos y aplicamos medidas adecuadas para proteger su información personal (por ejemplo, cláusulas contractuales tipo de la UE).

Informar de una vulnerabilidad

Gracias por colaborar con nosotros Valoramos las contribuciones de los hackers éticos que nos ayudan a mantener nuestra seguridad y privacidad.

Póngase en contacto con nosotros a través de responsible.disclosure@a1.group


Tenga en cuenta las siguientes condiciones:

  • Puede explotar la vulnerabilidad con fines de demostración, pero esto no debe dar lugar a ninguna interrupción del servicio (DoS) y la manipulación o pérdida de datos. El propósito de la demostración debe ser mostrar el vector de ataque y no causar ningún daño.
  • No comparta la información recopilada con terceros.
  • Estas áreas/campos no forman parte del proceso de divulgación responsable:
    • Seguridad física
    • Ingeniería social
    • Ataques distribuidos de denegación de servicio (DDoS)
    • Spam y phishing
    • Explotación de vulnerabilidades en sistemas dedicados a nuestros clientes.
  • Por favor, asegúrese de proporcionar suficiente información para que podamos reproducir el problema.

Una breve descripción que incluya la descripción del problema y la URL/IP del sistema afectado debería ser suficiente.


Qué haremos:

  • No emprenderemos ninguna acción legal derivada de la detección de la brecha de seguridad, siempre que cumplas con los términos anteriores.
  • No compartiremos sus datos con terceros sin su consentimiento. Nuestra correspondencia se tratará de forma confidencial.
  • Le mantendremos informado cuando se resuelva la brecha de seguridad.

Datos de contacto:

Nuestra dirección de correo electrónico es responsible.disclosure@a1.group

Clave PGP: C451 95B3 EB90 8ADB CDD2 982C 8F52 2AE8 1AE8 85B2

PREGUNTAS FRECUENTES

¿TieneA1 Digital la certificación ISO?
A1 Digital posee las certificaciones ISO 27001 y 27018 desde 2017. En 2024, obtuvimos otras certificaciones ISO y poseemos además las ISO 27701 y 27017.

¿A qué marcos de cumplimiento se adhiere A1 Digital?
En la actualidad, nuestro sistema de gestión del cumplimiento es conforme a IDW AssS 980 (09/2022). Es auditado periódicamente por un auditor externo.

¿Dispone A1 Digital de una política formal de seguridad de la información que se revise al menos una vez al año y sea aprobada por un alto ejecutivo?
Todas nuestras políticas de seguridad de la información se revisan anualmente y son aprobadas por la dirección.

¿Reciben los empleados de A1 Digital formación sobre protección de datos?
Disponemos de un programa de formación que garantiza que cada empleado reciba formación obligatoria de forma periódica. Además, el personal de Seguridad y Privacidad recibe formación sobre temas específicos

¿Dispone A1 Digital de un plan de Respuesta a Incidentes de Ciberseguridad y de los procesos correspondientes para informar y gestionar un incidente?
Todos nuestros empleados reciben formación periódica sobre cómo comportarse en caso de incidente. El equipo de Respuesta de Seguridad sigue un plan claramente definido que incluye métodos y procedimientos detallados para identificar, contener, investigar, informar y responder a cada incidente.

¿Qué medidas de seguridad existen para proteger los datos en un producto de A1 Digital?
Todos los productos de A1 Digital están protegidos por las medidas de seguridad documentadas en esta página. Además, puede activar las medidas de seguridad descritas en la sección Seguridad del producto (si procede en el producto).

Tengo más preguntas sobre Seguridad, Cumplimiento o Privacidad, ¿con quién me pongo en contacto?
security@a1.digital

Descargar certificaciones e informes

Download
ISO IEC 27001 2022 EN
299 KB
Download
ISO IEC 27017 2015 EN
300 KB
Download
ISO IEC 27018 2019 EN
305 KB
Download
ISO IEC 27701 2019 EN
300 KB
Download
IDW PS 980 A1 Digital
518 KB