start portlet menu bar end portlet menu bar

Las medidas técnicas y organizativas (TOM) que se proporcionan a continuación se aplican a todos los productos de HCLSoftware. Las pruebas de las medidas implementadas y mantenidas por HCLSoftware pueden presentarse en forma de declaraciones de cumplimiento actualizadas, informes de auditoría o extractos de organismos independientes a petición del cliente.

Políticas de seguridad

HCLSoftware mantiene un sólido sistema de gestión de seguridad de la información (ISMS). Las políticas de seguridad se revisan anualmente y se modifican según HCLSoftware lo considere necesario para mantener el cumplimiento de la seguridad.

Cada 6 meses se realiza una revisión formal de la dirección para evaluar la eficacia de las medidas técnicas y organizativas. Esto incluye el seguimiento de las métricas relacionadas con el gobierno, el riesgo y el cumplimiento de nuestro sistema de gestión de la seguridad de la información.

Los empleados de HCLSoftware completan la formación sobre seguridad y privacidad anualmente. HCLSoftware tiene una estructura de organización de seguridad de la información identificada que supervisa todos los procesos y actividades relacionados con la seguridad de la información para HCLSoftware.

  • HCL ha definido y documentado políticas y procesos de privacidad de datos que abordan el acceso a los datos personales.
  • Se ofrece formación obligatoria de concienciación sobre la seguridad de la información.
  • HCL revisa continuamente los registros de eventos en busca de comportamientos maliciosos o anómalos.
  • Todos los incidentes confirmados notificados se analizan para determinar la causa raíz y el impacto. Las acciones correctivas las inician los propietarios del proceso. Los principales incidentes, junto con sus causas y su impacto, se comunican a la dirección de HCL.
  • Los centros de datos y la organización de asistencia técnica de HCLSoftware cuentan con la certificación ISO 27001.

Gestión y control internos de TI y seguridad de TI

Se implementa un programa formal de auditoría interna para evaluar la conformidad y el gobierno de nuestros controles del ISMS. Las métricas de nuestro programa de auditoría interna se presentan en nuestras revisiones de la dirección.

Certificación/garantía de procesos y productos

Las auditorías externas e independientes se organizan y gestionan para satisfacer nuestras necesidades empresariales en lo que respecta a la certificación/garantía. Esto incluye un examen completo y formal del proceso y los productos que son compatibles con nuestro ISMS.

Para obtener más información, consulte la sección sobre solicitud de certificación.

Gestión de riesgos

HCLSoftware ha definido, documentado e implementado una infraestructura de gestión de riesgos basada en la norma ISO 27005 para identificar los riesgos relacionados con la seguridad, la privacidad y otros requisitos contractuales. Todos los riesgos se evalúan para determinar su impacto en la empresa y, a continuación, se evalúan para determinar la medida correctiva adecuada.

HCLSoftware evalúa y aborda los riesgos y crea planes de acción para mitigar los riesgos identificados. Todas las áreas de HCLSoftware tienen puntos focales de riesgo para ayudar en la identificación y el manejo de riesgos. Todos los riesgos se revisan según sea necesario, como mínimo una vez al año.

Gestión de incidentes

HCLSoftware mantiene una política de respuesta a incidentes y sigue los planes de respuesta a incidentes documentados, incluidas las notificaciones de infracciones rápidas, según corresponda, a las autoridades pertinentes, los clientes y los interesados cuando se sabe o se sospecha razonablemente que una infracción puede afectar a los datos de los clientes.

El programa de respuesta a incidentes de HCLSoftware sigue la norma NIST 800-61 R2 (consulte el diagrama siguiente)

HCLSoftware mantiene flujos independientes para los siguientes incidentes:

  • Incidentes de ciberseguridad
  • Incidentes relacionados con los datos (incluido el equipo de privacidad cuando los datos personales se ven afectados)
La comunicación fuera de HCL se gestiona mediante los recursos adecuados de cara al cliente.

HCL supervisa los incidentes de seguridad de forma continuada y los traslada al equipo de respuesta a incidentes correspondiente cuando se detecta un evento. El proceso de incidentes incluye el aislamiento, la erradicación o la contención, según sea necesario, y se realiza un análisis de la causa raíz para incidentes graves. La actividad posterior al incidente también incluye revisiones para mejorar los procesos y las herramientas según sea necesario.

Seguridad física y ambiental

HCLSoftware mantiene la seguridad física de sus instalaciones y centros de datos, lo que incluye tomar precauciones contra amenazas ambientales e interrupciones del suministro eléctrico.

  • El acceso a los centros de datos está controlado y limitado por el puesto de trabajo y sujeto a aprobación.
  • El acceso a los centros de datos se proporciona únicamente cuando es necesario y se revisa periódicamente.
  • El acceso físico a las oficinas está controlado por un mecanismo de control de acceso.
  • La entrada de visitantes se monitoriza y se registra.
  • Todas las áreas críticas tienen sistema de videovigilancia y las grabaciones se mantienen durante al menos 30 días.

Privacidad de datos

HCLSoftware ha implementado y mantendrá un programa de privacidad diseñado para cumplir con todas las normativas de privacidad aplicables a la empresa y a los datos personales que poseemos. También empleamos procesos para garantizar que tratamos los datos personales de nuestros clientes de acuerdo con nuestras obligaciones legales y nuestros contratos con los clientes. El programa de privacidad incluye, entre otras cosas, lo siguiente:

  1. Evaluación del impacto en la protección de datos
  2. Políticas y procedimientos
  3. Formación de concienciación sobre la privacidad de los empleados
  4. Contratos con clientes
  5. Evaluaciones del impacto de la transferencia de datos
  6. Evaluaciones de privacidad de proveedores/terceros
  7. Privacidad del producto desde el diseño
  8. Respuesta a las solicitudes de los interesados
  9. Respuesta a incidentes
  10. Documentación del cumplimiento de las normativas globales de privacidad

Garantía de conservación limitada de datos

  • El servicio de asistencia solo recopila datos personales necesarios para proporcionar asistencia técnica y servicios relacionados a nuestros clientes. El servicio de asistencia no almacena los datos de los clientes durante más tiempo del necesario y toma todas las medidas necesarias para garantizar que los datos personales se protegen y eliminan de acuerdo con las políticas internas y las leyes aplicables.
  • Los datos de diagnóstico almacenados en el repositorio de datos de clientes (CuDaR) se eliminan del repositorio activo después del cierre del caso y tardan hasta 60 días en eliminarse permanentemente de las copias de seguridad. Los datos del caso almacenados en nuestro sistema de gestión de tickets se conservan hasta 5 años después del cierre del caso.

Acceso y eliminación de los datos del cliente

El servicio de asistencia tiene la capacidad de tramitar solicitudes de los interesados de acuerdo con las políticas internas y las leyes aplicables. Los clientes tienen acceso a sus datos en el portal de atención al cliente y pueden exportarlos si es necesario. Además, el servicio de asistencia de HCL puede ayudarle a exportar los datos a petición del cliente.

Seudonimización/anonimización

Se implementan medidas para la seudonimización o anonimización de los datos personales en la medida necesaria en los entornos de asistencia que no son de producción.

Cifrado de datos personales

  • Cuando se transmiten datos personales, se garantiza un cifrado seguro de extremo a extremo de la comunicación. Todas las transferencias de datos personales se realizan a través de HTTPS/SFTP y utilizan como mínimo el protocolo TLS 1.2. La base de datos backend se cifra en reposo mediante el cifrado AES-256.
  • Datos en tránsito: se requiere el cifrado TLS (Transport Layer Security) para todas las conexiones a Internet durante el inicio de sesión y todos los datos se cifrarán durante la transmisión.
  • Datos en reposo: se cifran los datos almacenados del cliente. La gestión de claves cumple las prácticas recomendadas del sector. El cifrado utiliza las normas AES 256

Medidas de cifrado

  • Gestión de claves de cifrado: los procedimientos de gestión de claves criptográficas están documentados y automatizados. Los productos o soluciones se implementan para mantener las claves de cifrado de datos cifradas (p. ej., solución basada en software, módulo de seguridad de hardware o HSM). Se trata de un cifrado basado en software; el procedimiento de gestión de claves se automatizará. El cifrado de datos se configura en reposo y en tránsito.
  • Usos del cifrado: la transmisión de información confidencial a través de Internet pública siempre utiliza un canal cifrado. Los detalles de cifrado se documentan si la transmisión es automática. Si se requiere cifrado manual, el personal autorizado y especializado es responsable de cifrar/descifrar los datos. La información confidencial se cifra mientras está en tránsito a través de cualquier red mediante protocolos seguros como HTTPS, SSL, SFTP, etc. Las transmisiones VPN se realizan a través de un canal cifrado.

Configuración del sistema

La configuración predeterminada se reforzará según la configuración del sistema definida por HCLSoftware, incluidas las contraseñas antes de conectar el dispositivo a la red.

Confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento

  • El servicio de asistencia garantiza la aplicación de los controles adecuados para proteger la confidencialidad, integridad y accesibilidad de los sistemas de asistencia y los datos de los clientes.
  • El equipo de asistencia implementa un proceso de incorporación y salida de usuarios para evitar el acceso no autorizado a los datos. El servicio de asistencia sigue las políticas documentadas de respuesta a incidentes del ISMS y cuenta con un proceso para escalar los problemas de privacidad y seguridad de los datos.
  • Las funciones y responsabilidades se dividen en segmentos dentro de la organización de asistencia para reducir las oportunidades de modificación no autorizada o no intencionada, o el posible uso indebido de los datos. El servicio de asistencia garantiza que todo el personal de asistencia técnica completa los cursos de formación sobre seguridad y privacidad necesarios cada año.
  • Los centros de datos de gestión de tickets y la infraestructura basada en la nube del servicio de asistencia están diseñados para ofrecer alta disponibilidad con componentes redundantes y varias rutas de red para evitar puntos únicos de fallo. La arquitectura de alta disponibilidad avanzada (AHA) es el medio principal para restaurar el servicio en caso de que se produzca una interrupción que pueda afectar a la disponibilidad. Se llevan a cabo copias de seguridad completas en el sistema de gestión de tickets del servicio de asistencia cada siete días directamente en disco y se conservan durante 28 días, con copias de seguridad diferenciales cada 24 horas.

Capacidad para restablecer la disponibilidad y el acceso a los datos personales

  • El servicio de asistencia tiene un plan de continuidad empresarial que garantiza la disponibilidad del servicio de asistencia en caso de que se produzca un incidente físico o técnico. El plan de continuidad empresarial del servicio de asistencia guía la restauración de las operaciones a un nivel predefinido, dentro de un marco de tiempo predeterminado, después de una interrupción del negocio. El plan de continuidad empresarial se prueba anualmente.
  • Se llevan a cabo copias de seguridad de la base de datos con el objetivo de evitar la pérdida de datos personales en caso de un fallo técnico o error humano. Se realizan copias de seguridad incrementales en CuDaR (repositorio de datos del cliente) cada 12 horas, con copias de seguridad diferenciales semanales y sobreescritura de copia de seguridad mensual. Las restauraciones de copia de seguridad de datos se prueban periódicamente, al menos una vez al año.

Planificación de la continuidad del negocio y la recuperación ante desastres

  • Los procedimientos de copia de seguridad se aplican a todos los sistemas de desarrollo esenciales.
  • La copia de seguridad se realiza a nivel de almacenamiento y se siguen los estándares del sector. Cada centro de datos tiene su propia infraestructura de copia de seguridad. Los procedimientos de almacenamiento de datos cumplen la norma ISO 27001.
  • Las interrupciones y los cortes se comunican a los clientes afectados. La comunicación incluye la siguiente información:
    • Naturaleza del impacto
    • Ubicaciones/departamentos/procesos afectados
    • Alcance del impacto
    • Ubicación e información de contacto del servicio de asistencia de TI

Prueba y evaluación de la eficacia de las medidas técnicas y organizativas

Nuestras medidas técnicas y organizativas se evalúan mediante una auditoría formal y un programa de pruebas internas. Cada 6 meses se lleva a cabo una revisión formal de la dirección del equipo de liderazgo sénior para evaluar la eficacia de nuestros sistemas de gestión de seguridad de la información y, por lo tanto, nuestras medidas técnicas y organizativas. Esto incluye métricas y controles para el gobierno, el riesgo y el cumplimiento de nuestro sistema de gestión de la seguridad de la información.

Gestión de acceso de usuarios

HCL mantiene los controles adecuados para solicitar, aprobar, conceder, revocar y volver a validar el acceso de los usuarios a los sistemas. Solo los empleados con una necesidad empresarial pueden acceder a los datos. Las solicitudes de acceso se aprueban según la función individual y el acceso de los usuarios se revisa con regularidad.

Los procedimientos de acceso lógicos definen los procesos de solicitud, aprobación, concesión y retirada del acceso. Los procedimientos de acceso lógico restringen el acceso de los usuarios (local o remoto) según el puesto de trabajo del usuario para aplicaciones y bases de datos (acceso adecuado basado en funciones/perfiles) para aplicaciones, bases de datos y sistemas con el fin de garantizar la separación de tareas. Los procedimientos se revisan, administran y documentan según la incorporación, la reasignación de recursos o la separación. Las revisiones de acceso de los usuarios se realizan para garantizar que el acceso es adecuado durante todo el año.

  • Todos los administradores de sistemas de HCLSoftware se autentican utilizando varios factores, Tacca’s, VPN, AD para el acceso al sistema a través de la gestión de acceso con privilegios.
  • Además, el uso de la gestión de acceso con privilegios se registra para análisis forenses y auditoría.

Identificación y autorización de usuarios

Cada usuario tiene un control de acceso con nombre único (ID de usuario y contraseña) para acceder a sus cuentas.

Protección de datos durante el almacenamiento

Cada usuario tendrá acceso a sus datos específicos y no a todo el almacenamiento.

Gestión y controles de activos: portátiles, equipos de sobremesa, servidores, equipos de red y activos de software

  • Todos los activos se declaran, revisan y gestionan formalmente en un registro de activos.
  • Los parches de sistemas operativos recomendados por el proveedor se prueban y aplican regularmente a los equipos de escritorio, portátiles, servidores y redes.
  • Los ID predeterminados se cambian y se desactivan. Las contraseñas se cambian después de la instalación inicial. No se utilizan las contraseñas predeterminadas de los fabricantes.
  • Si es necesario compartir archivos/directorios de un servidor a otros equipos, debe habilitarse de tal manera que solo los usuarios que necesitan saber tengan acceso al recurso compartido y se siga el principio de privilegio mínimo.
  • Los relojes de los sistemas de todos los servidores y equipos de red están sincronizados y se ajustan a la hora de la zona horaria de la ubicación del servidor/equipo. Solo el personal autorizado tiene el privilegio de cambiar o restablecer la hora del reloj del sistema.
  • Las cuentas administrativas se establecen con contraseñas seguras y los privilegios se otorgan únicamente a las personas identificadas. El acceso de administrador se revisa periódicamente.
  • El software de detección y respuesta en los puntos finales (antivirus y malware de próxima generación) se instala si es necesario.
  • Se realizan copias de seguridad y comprobaciones de restauración para los sistemas identificados, según lo acordado y previa solicitud.
  • Dentro de las instalaciones solo se permiten ordenadores portátiles gestionados por la empresa y propiedad de ella.
  • Cada empleado de HCL necesita un "ID de usuario" y una contraseña únicos para acceder a los sistemas informáticos de la empresa.
  • Cada ID de usuario tiene una contraseña y los usuarios deben establecer y cambiar sus contraseñas según la política de contraseñas de HCL.
  • Los ID de usuario se crean según el proceso definido y con las autorizaciones adecuadas.
  • Las cuentas de servicios compartidos se gestionan a través de la plataforma de gestión de acceso con privilegios.

Controles inalámbricos

  • Cómo aplicamos los controles inalámbricos:
    • Solo se puede acceder al punto de acceso inalámbrico desde el servidor de salto del equipo de red con acceso autorizado para la gestión inalámbrica.
  • Cómo aplicamos los controles inalámbricos:
    • Autenticación PNP-CORP SSID: se permite la autenticación inalámbrica a través del servidor RADIUS/AD, por lo que solo se permitirá a los usuarios válidos de HCLSW conectarse a SSID
    • Autenticación de invitados de HCLSoftware: se permite la autenticación inalámbrica a través de la autenticación del portal cautivo interno. Crearemos el nombre de usuario y la contraseña basados en la solicitud del servidor (el ticket de invitado inalámbrico creará dos tareas, una para crear credenciales y la segunda para deshabilitar credenciales. La segunda tarea se asignará después de la fecha de finalización de la solicitud WiFi).
    • Autenticación HCL-TECH-SSID: la autenticación inalámbrica utiliza una clave precompartida, que se compartirá con los usuarios de HCLTech. La contraseña se cambiará cada tres semanas.
  • Cómo sustituimos la configuración predeterminada del proveedor:
    • Se utilizan plantillas estándar de HCLSW.

Seguridad del correo electrónico

  • Todos los correos electrónicos se analizan en busca de virus o códigos maliciosos a nivel de puerta de enlace.
  • Los sistemas de correo electrónico están configurados para restringir la suplantación de identidad, el envío de spam y el reenvío, con el fin de proteger contra estos actos.

Seguridad en la nube

Los activos y servicios en la nube se refuerzan con los estándares del Centro para la Seguridad en Internet (CIS).

  • Nuestro equipo de detección, análisis y respuesta, disponible en todo momento, supervisa las normas y configuraciones de gestión de la seguridad en la nube en tiempo real.
  • El software de protección de cargas de trabajo en la nube y detección y respuesta en los puntos finales (antivirus y malware de próxima generación) se instala si es necesario.
  • HCLSoftware utiliza firewalls de aplicaciones web (WAF) de proveedores de nube para la protección contra DDoS y otros vectores de ataque externos.

Operaciones de seguridad

HCLSoftware mantiene un equipo de detección, análisis y respuesta (DART) de forma continuada que proporciona servicios de supervisión y respuesta para desviaciones de normas definidas, actividad maliciosa o anómala y modelado de amenazas.

  • Equipo de respuesta CSIRT definido.
  • Servicios forenses de ciberseguridad.

Otros controles de seguridad

  • Los firewalls se configuran de tal manera que solo se permite el tráfico de aplicaciones de capa 7 autorizado.
  • Todas las comunicaciones seguras en HCL siguen la norma de cifrado actual.
  • EDR y DLP se instalan en todos los equipos de los usuarios finales.

Uso de subencargados del tratamiento

  • HCL recurre a determinados terceros para la prestación de sus servicios. Un ejemplo de esto son los terceros contratados para el alojamiento en la nube y para la prestación de asistencia y servicios relacionados. Los subencargados del tratamiento que pueden acceder a los datos personales de los clientes se enumeran en nuestro Centro de confianza: https://www.hcltechsw.com/es/resources/data-processing-and-transfers , y los clientes pueden suscribirse para recibir actualizaciones de la lista de subencargados del tratamiento.
  • HCLSoftware ha formalizado acuerdos de tratamiento de datos con todos los subencargados del tratamiento que puedan acceder a los datos personales del cliente, asegurando que se aplican las medidas de protección adecuadas para la protección de datos y las transferencias de datos seguras.