Política de violación de datos – Water2Buy – Water Filtration Made Easy

Introducción

Esta Política y Plan tiene como objetivo ayudar a Water2buy a gestionar las filtraciones de datos personales de forma eficaz. Water2buy tiene datos personales sobre nuestros usuarios, empleados, clientes, proveedores y otras personas para una variedad de propósitos comerciales.

Water2buy está comprometido no solo con la letra de la ley, sino también con el espíritu de la ley y otorga una gran importancia al manejo correcto, legal y justo de todos los Datos personales, respetando los derechos legales, la privacidad y la confianza de todas las personas con quienes se trata.

Una violación de datos generalmente se refiere al acceso no autorizado y la recuperación de información que puede incluir datos corporativos y / o personales. Las violaciones de datos generalmente se reconocen como una de las fallas de seguridad más costosas de las organizaciones. Podrían generar pérdidas económicas y hacer que los consumidores pierdan la confianza en Water2buy o en nuestros clientes.

Las regulaciones en las diversas jurisdicciones en las que opera Water2buy requieren que Water2buy realice arreglos de seguridad razonables para proteger los datos personales que poseemos o controlamos, para evitar el acceso, la recopilación, el uso, la divulgación no autorizados o riesgos similares.

Alcance

Esta política se aplica a todo el personal. Debe estar familiarizado con esta política y cumplir con sus términos. Esta política complementa nuestras otras políticas relacionadas con el uso de Internet y el correo electrónico. Podemos complementar o enmendar esta política con políticas y pautas adicionales de vez en cuando. Cualquier política nueva o modificada se enviará al personal antes de ser adoptada.

Formación

Todo el personal recibirá capacitación sobre esta política. El nuevo personal recibirá capacitación como parte del proceso de inducción. Se brindará capacitación adicional al menos cada año o cuando haya un cambio sustancial en la ley o nuestra política y procedimiento.

La capacitación se brinda a través de un seminario interno y capacitación en línea anualmente, y cubre las leyes aplicables relacionadas con la protección de datos, la protección de datos de Water2buy y las políticas y procedimientos relacionados.

La finalización de la formación es obligatoria.

REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UE (UE) 2016/679 (GDPR)

La regulación también se aplica a organizaciones con sede fuera de la Unión Europea si recopilan o procesan datos personales de residentes de la UE.

Según la Comisión Europea, los datos personales son: «cualquier información relacionada con una persona, ya sea que se relacione con su vida privada, profesional o pública. Puede ser cualquier cosa, desde un nombre, una dirección particular, una foto, una dirección de correo electrónico , datos bancarios, publicaciones en sitios web de redes sociales, información médica o la dirección IP de una computadora «.

Información personal

Water2buy define los datos personales como la más amplia de las definiciones contenidas en el RGPD.

Water2buy define Datos personales sensibles como la más amplia de las definiciones contenidas en el RGPD.

Cualquier uso de datos personales confidenciales debe controlarse estrictamente de acuerdo con esta política.

Si bien algunos datos siempre se relacionarán con un individuo, es posible que otros datos no se relacionen por sí solos con un individuo. Dichos datos no constituirían Datos Personales a menos que estén asociados o relacionados con un individuo en particular.

La información genérica que no se relaciona con un individuo en particular también puede formar parte de los Datos personales de un individuo cuando se combina con Datos personales u otra información para permitir que un individuo sea identificado.

Los datos agregados no son datos personales.

Water2buy recopila datos personales para dos propósitos, para identificar y proteger los datos que nos brindan nuestros clientes, y para operaciones internas.

Los datos personales para asesoramiento en salud se relacionan con usuarios individuales identificables y pueden incluir:

  • Información de perfil de usuario como nombre completo, dirección, número de teléfono móvil y dirección de correo electrónico personal;
  • Mensajes entre usuarios y nuestro servicio de atención al cliente.

Los datos personales que recopilamos para fines operativos internos se relacionan con personas identificables, como solicitantes de empleo, empleados actuales y anteriores, personal contratado y de otro tipo, clientes, proveedores y contactos de marketing, y los datos recopilados pueden incluir datos de contacto de las personas, antecedentes educativos, finanzas y detalles de pago, detalles de certificados y diplomas, educación y habilidades, estado civil, nacionalidad, cargo y CV.

Causas

Las filtraciones de datos pueden ser causadas por empleados, partes externas a la organización o errores del sistema informático.

Error humano
Las causas de errores humanos incluyen:

  • Pérdida de dispositivos informáticos (portátiles o de otro tipo), dispositivos de almacenamiento de datos o registros en papel que contienen datos personales
  • Revelar datos a un destinatario incorrecto
  • Manejo de datos de una manera no autorizada (por ejemplo: descargar una copia local de datos personales)
  • Acceso no autorizado o divulgación de datos personales por parte de los empleados (por ejemplo: compartir un inicio de sesión)
  • Eliminación inadecuada de datos personales (por ejemplo: disco duro, soporte de almacenamiento o documentos en papel que contienen datos personales vendidos o descartados antes de que los datos se eliminen correctamente)

Actividades maliciosas
Las causas maliciosas incluyen:

  • Incidentes de piratería / acceso ilegal a bases de datos que contienen datos personales
  • Piratería para acceder a datos no autorizados a través de la aplicación de entrenamiento o API
  • Robo de dispositivos informáticos (portátiles o de otro tipo), dispositivos de almacenamiento de datos o registros en papel que contienen datos personales
  • Estafas que engañan al personal de Water2buy para que divulgue datos personales de individuos

Error del sistema informático
Las causas de errores del sistema informático incluyen:

  • Errores o errores en la aplicación o API de Water2buy
  • Fallo de los servicios en la nube, la computación en la nube o los sistemas de seguridad / autenticación / autorización de almacenamiento en la nube

Informar infracciones

Todos los miembros del personal tienen la obligación de informar las fallas de cumplimiento de protección de datos reales o potenciales. Esto nos permite:

  • Investigar la falla y tomar medidas correctivas si es necesario
  • Mantener un registro de fallas de cumplimiento
  • Notificar a la Autoridad de Supervisión de cualquier incumplimiento que sea material, ya sea por derecho propio o como parte de un patrón de fallas.

Según el RGPD, el DPO está legalmente obligado a notificar a la Autoridad de Supervisión dentro de las 72 horas posteriores a la violación de datos (artículo 33). Las personas deben ser notificadas si se determina un impacto adverso (artículo 34). Además, Water2buy debe notificar a los clientes afectados sin demoras indebidas después de tener conocimiento de una violación de datos personales (artículo 33).

Sin embargo, Water2buy no tiene que notificar a los interesados si se infringen datos anónimos. En concreto, no se requiere el aviso a los interesados si el responsable del tratamiento ha implementado técnicas de pseudoanonimización como el cifrado junto con las medidas técnicas y organizativas de protección adecuadas a los datos personales afectados por la violación de datos (artículo 34).

Filtración de datos

El equipo de violación de datos debe ser alertado de inmediato de cualquier violación de datos confirmada o sospechada.

La notificación debe incluir la siguiente información, cuando esté disponible:

  • Alcance de la violación de datos
  • Tipo y volumen de datos personales involucrados
  • Causa o causa sospechada de la infracción
  • Si la infracción ha sido rectificada
  • Medidas y procesos que la organización había implementado en el momento de la infracción.
  • Información sobre si se notificó a las personas afectadas por la violación de datos y, de no ser así, cuándo la organización tiene la intención de hacerlo
  • Datos de contacto del personal de Water2buy con el que la autoridad supervisora puede comunicarse para obtener más información o aclaraciones

Cuando la información específica de la violación de datos aún no esté disponible, Water2buy debe enviar una notificación provisional que incluya una breve descripción del incidente.

Las notificaciones realizadas por las organizaciones o la falta de notificación, así como si las organizaciones cuentan con procedimientos de recuperación adecuados, afectarán las decisiones de las autoridades supervisoras sobre si una organización ha protegido razonablemente los datos personales bajo su control o posesión.

Responder a una violación de datos

PLAN DE GESTIÓN DE INCUMPLIMIENTO DE DATOS

Al ser notificado de una violación de datos (sospechada o confirmada), el equipo de violación de datos debe activar inmediatamente el plan de respuesta y violación de datos.

El plan de respuesta y gestión de filtraciones de datos de Water2buy es:

  1. Confirmar la infracción
  2. Contener la brecha
  3. Evaluar riesgos e impacto
  4. Informar el incidente
  5. Evaluar la respuesta y la recuperación para prevenir futuras infracciones

CONFIRMAR EL INCUMPLIMIENTO

El equipo de violación de datos (DBT) debe actuar tan pronto como tenga conocimiento de una violación de datos. Siempre que sea posible, primero debe confirmar que se ha producido la violación de datos. Puede tener sentido que el DBT proceda a Contener la infracción sobre la base de una infracción de datos informada no confirmada, según la probabilidad de la gravedad del riesgo.

CONTENER EL INCUMPLIMIENTO

El DBT debe considerar las siguientes medidas para contener la infracción, cuando corresponda:

  • Apague el sistema comprometido que provocó la violación de datos.
  • Establezca si se pueden tomar medidas para recuperar los datos perdidos y limitar cualquier daño causado por la infracción. (p. ej., deshabilitar / borrar de forma remota un cuaderno perdido que contiene datos personales de personas).
  • Evite nuevos accesos no autorizados al sistema.
  • Restablezca las contraseñas si las cuentas y / o contraseñas se han visto comprometidas.
  • Aísle las causas de la filtración de datos en el sistema y, cuando corresponda, cambie los derechos de acceso al sistema comprometido y elimine las conexiones externas al sistema.

EVALUAR RIESGOS E IMPACTO

Conocer los riesgos y el impacto de las filtraciones de datos ayudará a Water2buy a determinar si podría haber consecuencias graves para las personas afectadas, así como los pasos necesarios para notificar a las personas afectadas.

Riesgo e impacto en las personas

  • ¿Cuántas personas se vieron afectadas?
    Un número más alto puede no significar un riesgo más alto, pero evaluar esto ayuda a evaluar el riesgo general.
  • ¿Los datos personales de quién han sido violados?
    ¿Los datos personales pertenecen a empleados, clientes o menores? Diferentes personas se enfrentarán a diferentes niveles de riesgo como resultado de la pérdida de datos personales.
  • ¿Qué tipo de datos personales estuvieron involucrados?
    Esto ayudará a determinar si existe riesgo para la reputación, el robo de identidad, la seguridad y / o la pérdida financiera de las personas afectadas.
  • ¿Existen medidas adicionales para minimizar el impacto de una violación de datos? Por ejemplo: un dispositivo perdido protegido por una contraseña segura o cifrado podría reducir el impacto de una violación de datos.

Riesgo e impacto en las organizaciones

  • ¿Qué causó la violación de datos?
    Determinar cómo ocurrió la infracción (por robo, accidente, acceso no autorizado, etc.) ayudará a identificar los pasos inmediatos que se deben tomar para contener la infracción y restaurar la confianza del público en un producto o servicio.
  • ¿Cuándo y con qué frecuencia ocurrió la infracción?
    Examinar esto ayudará a Water2buy a comprender mejor la naturaleza de la infracción (por ejemplo, maliciosa o accidental).
  • ¿Quién podría acceder a los datos personales comprometidos?
    Esto determinará cómo se podrían usar los datos comprometidos. En particular, las personas afectadas deben ser notificadas si los datos personales son adquiridos por una persona no autorizada.
  • ¿Los datos comprometidos afectarán las transacciones con otros terceros?
    Determinar esto ayudará a identificar si otras organizaciones necesitan ser notificadas.

INFORMAR EL INCIDENTE

Water2buy tiene la obligación legal de notificar a las personas afectadas si sus datos personales han sido violados. Esto alentará a las personas a tomar medidas preventivas para reducir el impacto de la violación de datos y también ayudará a Water2buy a reconstruir la confianza del consumidor.

A quién notificar:

  • Notifique a las personas cuyos datos personales se hayan visto comprometidos.
  • Notifique a otros terceros como bancos, compañías de tarjetas de crédito o la policía, cuando corresponda.
  • Notifique al GDPR especialmente si una violación de datos involucra datos personales sensibles.
  • Se debe notificar a las autoridades pertinentes (p. Ej., Policía) si se sospecha de actividad delictiva y se deben preservar las pruebas para la investigación (p. Ej., Piratería, robo o acceso no autorizado al sistema por parte de un empleado).

Cuándo notificar:

  • Notifique a las personas afectadas de inmediato si una violación de datos involucra datos personales sensibles. Esto les permite tomar las acciones necesarias con anticipación para evitar un posible abuso de los datos comprometidos.
  • Notifique a las personas afectadas cuando se resuelva la violación de datos

Cómo notificar:

  • Utilice las formas más eficaces para llegar a las personas afectadas, teniendo en cuenta la urgencia de la situación y el número de personas afectadas (por ejemplo, comunicados de prensa, redes sociales, mensajería móvil, SMS, correos electrónicos, llamadas telefónicas).
  • Las notificaciones deben ser sencillas de entender, específicas y proporcionar instrucciones claras sobre lo que las personas pueden hacer para protegerse.

Qué notificar:

  • Cómo y cuándo ocurrió la violación de datos y los tipos de datos personales involucrados en la violación de datos.
  • Lo que Water2buy ha hecho o hará en respuesta a los riesgos provocados por la violación de datos.
  • Datos específicos sobre la violación de datos cuando corresponda, y acciones que las personas pueden tomar para evitar que esos datos sean mal utilizados o abusados.
  • Detalles de contacto y cómo las personas afectadas pueden comunicarse con la organización para obtener más información o asistencia (por ejemplo, números de la línea de ayuda, direcciones de correo electrónico o sitio web).

EVALUAR LA RESPUESTA Y LA RECUPERACIÓN PARA PREVENIR FUTURAS INFRACCIONES

Una vez que se hayan tomado medidas para resolver la violación de datos, Water2buy debe revisar la causa de la violación y evaluar si las medidas y procesos de protección y prevención existentes son suficientes para evitar que ocurran violaciones similares y, cuando corresponda, poner fin a las prácticas que llevaron a la Filtración de datos.

Problemas operativos y relacionados con las políticas:

  • ¿Se realizaron auditorías con regularidad sobre las medidas de seguridad físicas y relacionadas con la TI?
  • ¿Hay procesos que puedan simplificarse o introducirse para limitar el daño si se producen futuras infracciones o para evitar una recaída?
  • ¿Hubo debilidades en las medidas de seguridad existentes, como el uso de software obsoleto y medidas de protección, o debilidades en el uso de dispositivos de almacenamiento portátiles, redes o conectividad a Internet?
  • ¿Fueron los métodos para acceder y transmitir datos personales suficientemente seguros, por ejemplo: acceso limitado solo al personal autorizado?
  • ¿Deberían mejorarse los servicios de soporte de terceros, como proveedores y socios, para proteger mejor los datos personales?
  • ¿Se definieron claramente las responsabilidades de los proveedores y socios en relación con el manejo de datos personales?
  • ¿Es necesario desarrollar nuevos escenarios de violación de datos?

Problemas relacionados con los recursos:

  • ¿Se asignaron recursos suficientes para gestionar la violación de datos?
  • ¿Deberían contratarse recursos externos para gestionar mejor estos incidentes?
  • ¿Se le dio al personal clave los recursos suficientes para manejar el incidente?

Problemas relacionados con los empleados:

  • ¿Los empleados estaban al tanto de los problemas relacionados con la seguridad?
  • ¿Se brindó capacitación sobre cuestiones de protección de datos personales y habilidades de gestión de incidentes?
  • ¿Se informó a los empleados sobre la violación de datos y los puntos de aprendizaje del incidente?

Problemas relacionados con la gestión:

  • ¿Cómo participó la dirección en la gestión de la violación de datos?
  • ¿Hubo una línea clara de responsabilidad y comunicación durante la gestión de la violación de datos?

Supervisión

Todos deben observar esta política.

Consecuencias de no cumplir

Nos tomamos muy en serio el cumplimiento de esta política. El incumplimiento lo pone en riesgo tanto a usted como a la organización.

La importancia de esta política significa que el incumplimiento de cualquier requisito puede dar lugar a una acción disciplinaria según nuestros procedimientos que puede resultar en el despido.