Egg Cooperation

Política de seguridad de la información

Propósito

Esta Política de seguridad de la información proporciona una descripción general de los controles de seguridad desarrollados por EGG para garantizar que todo el personal, las herramientas y los servicios cumplan con las reglas y pautas relacionadas con la seguridad y la confidencialidad.

Organización

EGG ha definido una estructura organizacional con líneas jerárquicas, autoridades y responsabilidades para el desarrollo, implementación, operación, mantenimiento y monitoreo de los sistemas relacionados con la seguridad y la confidencialidad.

El Director de Cumplimiento de EGG actúa como el principal responsable de los controles del sistema de gestión de seguridad de EGG.

Esta política será revisada al menos una vez al año y cuando existan cambios que puedan afectar la gestión corporativa con respecto a la Seguridad de la Información.

Todo el personal es responsable de la seguridad de la información y, por lo tanto, debe comprender y cumplir con esta política y los documentos asociados. El no hacerlo puede resultar en una acción disciplinaria.

Esta política fue establecida y aprobada por el equipo de liderazgo de EGG el 10/2021.

Política

Nuevos empleados y contratistas

El Área de People & Culture actúa como responsable de desarrollar, implementar, mantener y monitorear el proceso que afecta la seguridad y confidencialidad, según los nuevos empleados/contratistas.

Antes de que los nuevos empleados o contratistas tengan acceso a cualquier recurso de la empresa, deben firmar copias de todos los documentos enumerados en la lista de verificación de incorporación como parte del proceso de incorporación de contratación.

Privacidad y condiciones

La política de privacidad y las condiciones de EGG para usuarios externos están disponibles en la web: https://eggcooperation.com/es-AR/pp

Debido a los cambios en los negocios y la tecnología, es posible que EGG deba modificar la Política de privacidad en su sitio web público.

Control de acceso

EGG aplica controles de acceso lógico para garantizar que los datos y el equipo estén seguros y que solo el personal autorizado pueda acceder a ellos.

Todo acceso a la red y al sistema requiere una identificación de usuario y una contraseña de red únicas para fines de identificación y autorización.

Las cuentas compartidas están prohibidas. Se implementan métodos de inicio de sesión único y autenticación de dos factores para acceder a los sistemas EGG.

EGG realiza revisiones de acceso trimestralmente para garantizar que cada rol tenga acceso adecuado a los datos y sistemas de información.

Todos los accesos están deshabilitados según lo indicado en la política de baja. El acceso al entorno de producción ya los datos está controlado y limitado solo para el área de Tecnología EGG. Los accesos se gestionan con el sistema de autenticación de Google.

EGG aplica la autenticación de dos factores para EMPLEADOS y CONTRATISTAS que utilizan Google 2FA con notificaciones por SMS o Google Authenticator.

Desarrollo de software

EGG cuenta con un proceso de desarrollo basado en la metodología ágil Scrum que utiliza Git para gestionar código y elementos de trabajo a través de sprints con objetivos definidos.

Los cambios de software se rastrean en Git, el código se revisa y se prueba en un entorno de prueba antes del lanzamiento a producción. Estos entornos de prueba y producción son entornos física y lógicamente separados. Existe una segregación de funciones impuesta por el sistema entre los desarrolladores que generan el código y los desarrolladores que publican los cambios en el entorno de producción.

El equipo de desarrollo de software de EGG está siguiendo las pautas de OWASP Top10 para el desarrollo de código seguro.

Sistemas de producción

La plataforma EGG está alojada en Amazon Web Services. Los controles de seguridad operativos y de red se implementan como parte de los requisitos de las normas de seguridad. Las notificaciones para los proveedores externos se evalúan en busca de riesgos potenciales.

Las pruebas de penetración se realizan al menos una vez al año. Los resultados son revisados por la gerencia y rastreados hasta la resolución como parte de su procedimiento de evaluación de riesgos.

Registro y análisis

La plataforma EGG registra cada transacción utilizando Segment.io, que persiste cada evento enviado en un almacén de datos administrado por AWS y respaldado cada hora con instantáneas mensuales. Las plataformas EGG también mantienen una entrada de registro especial para detectar intentos fallidos de acceso al registro.

Las revisiones de registros se realizan trimestralmente para determinar si un evento en particular se ha registrado previamente en las diferentes revisiones. Si durante esta investigación inicial hay un evento que no se ajusta al perfil normal, debe marcarse y se requiere una investigación más detallada. Durante una investigación, puede ser necesario recopilar información de otras fuentes, como sistemas de gestión de cambios, antimalware e IDS, entre otros.

Datos en tránsito

EGG utiliza seguridad de nivel de transporte Grado A+ (según lo medido por ssllabs.com) para cifrar datos en tránsito con TLS1.3

Las contraseñas de usuarios externos para los clientes que se registran directamente con EGG se almacenan con hash y sal en la base de datos y no se pueden descifrar.

Retención de datos

Todos los datos del usuario se conservan mientras existan como usuario y se cifran en reposo con AES-256.

Backups

El proceso de copia de seguridad de los datos de los usuarios consiste en una copia de seguridad completa de la base de datos cada 24 horas, de las cuales conservamos 20 días. Estas copias de seguridad se almacenan en S3. Los datos del cliente sólo residen en el entorno de producción cifrados en reposo con AES-256. Los datos de copia de seguridad se cifran mediante AES-256 con administración y aprovisionamiento de claves automáticos, tal como lo permite el mecanismo de almacenamiento en reposo de S3 Storage Encryption. El cifrado se aplica en el nivel de almacenamiento.

Seguridad de los subprocesadores

EGG utiliza ciertos subprocesadores para asistir en la prestación de los servicios; estos proveedores de servicios pueden almacenar y procesar datos personales.

La lista de SubProcesadores y sus funciones dentro de EGG están disponibles para cualquier persona que lo solicite. EGG se reserva el derecho de eliminar, modificar, cambiar o agregar subprocesadores.

Eliminación de datos

Los acuerdos de usuario establecen que los estudiantes pueden solicitar la eliminación total o parcial de datos en cualquier momento. Esta solicitud solo puede ser ejecutada por personal autorizado y el remitente debe ser una cuenta de usuario válida con derechos administrativos en el equipo que el usuario está tratando de eliminar.

El estudiante es notificado, a través del mismo ticket utilizado para las solicitudes de eliminación de datos, inmediatamente que su solicitud de eliminación de datos ha sido completada.

Antivirus

EGG utiliza el software antivirus ESET en todas las computadoras de Tecnología; el área de TI realiza un seguimiento para asegurar que todos los clientes de Antivirus estén actualizados. La información almacenada en los discos locales está protegida mediante encriptación con ESET FDE.

Formación y concienciación

EGG Security Awareness Training es un proceso formal para educar a los empleados y contratistas sobre la seguridad informática y el uso correcto de la información.

Third party

Cuando exista una necesidad comercial de divulgar cualquier información confidencial de EGG a terceros (como socios comerciales y contratistas) o de otorgar a terceros acceso a información confidencial, el Director de área ejecuta un acuerdo de confidencialidad o un acuerdo que incorpora disposiciones de confidencialidad.

Clasificación de la información

EGG implementa controles de clasificación de información apropiados, basados ​​en los resultados de la evaluación de riesgos formal.

Reportar incidentes

La notificación de incidentes de seguridad de la información relacionados con: infracciones, fallas, inquietudes y otras quejas se describen en la política de gestión de incidentes, incluida la orientación sobre el escalamiento y la resolución.

Gestión de riesgos

Las evaluaciones de riesgos se realizan periódicamente para identificar amenazas y vulnerabilidades para los sistemas incluidos en el alcance. Las estrategias de mitigación se analizan en función de los resultados de la evaluación de riesgos. La política de gestión de riesgos exige una revisión anual de la evaluación de riesgos y la actualización del plan de implementación, las políticas y los procedimientos para abordar los cambios que podrían afectar el sistema.

Supervisión

El cumplimiento de las políticas y los procesos descritos en este documento son monitoreados periódicamente con revisiones independientes por parte de Auditoría Interna y Externa.

RGPD y CCPA

EGG cumple con GDPR y CCPA como un proceso continuo, las herramientas y los procesos están implementados para cumplir con todos los derechos de GDPR que una persona puede ejercer.

En algunas circunstancias y de acuerdo con la legislación aplicable, los derechos de protección de datos de una persona pueden verse legalmente restringidos.

Cualquier duda o cuestión relacionada con los datos personales puede enviar un correo electrónico a la Oficina de Protección de Datos: [email protected]

Seleccionar moneda