Seguro Desde El Principio

Basado en las mejores prácticas

Como equipo, tenemos una larga trayectoria en el desarrollo y la entrega de soluciones de software de Recursos Humanos para clientes de todos los tamaños y en prácticamente todos los sectores industriales, incluidas muchas de las organizaciones más exigentes del mundo. Sabemos lo que se necesita para ofrecer sistemas de Recursos Humanos robustos, seguros e internacionales a través de Internet.

No sólo diseñamos nuestro servicio completo de Recursos Humanos orientado a la seguridad y al cumplimiento de los requisitos de datos de la UE -y ahora de GDPR-, sino que también realizamos pruebas de intrusión periódicas por parte de un organismo experto, para garantizar que nuestra seguridad está validada de forma independiente y que nuestro sistema cumple realmente con el alto nivel de seguridad que exigen tus datos de Recursos Humanos.

Cyber Essentials LogoAmazon Web Services logoCezanne HR ISO logo number

Architecture HostingGDPR & Brexit

Seguridad a todos los niveles

Diseñado para mantener seguros tus datos de recursos humanos

Cezanne HR está diseñado para permitir un uso robusto, rápido y seguro a través de Internet y para proteger la seguridad e integridad de todos tus datos de Recursos Humanos, así como de todo el Sistema. Desde la arquitectura del sistema y el cifrado de los datos hasta las opciones avanzadas para permisos de usuario, contraseñas y autenticación dual, la seguridad es la base de lo que diseñamos y entregamos.

GDPR: Normativa General de Protección de Datos

GDPR introduce una importante revisión del reglamento europeo de protección de datos. Si bien los principios clave del GDPR son los mismos que han estado en vigor desde la introducción de la legislación basada en la Directiva Europea de 1995, ahora se hace mucho más hincapié en la transparencia y la rendición de cuentas.

Esta sección detalla cómo Cezanne HR como procesador de datos cumple con los requisitos específicos de GDPR.

Cumplimos lo dispuesto en el apartado 1 del artículo 28, en el apartado 1 del artículo 32 y en el apartado 2 del artículo 32, en el sentido de que hemos aplicado "las medidas técnicas y organizativas adecuadas de manera que el tratamiento cumpla los requisitos del Reglamento". Las medidas implementadas incluyen, entre otras, las siguientes:

  • todos los datos están encriptados tanto en reposo como en transmisión;
  • todos los accesos al sistema son monitoreados y registrados (tanto los inicios de sesión exitosos como los intentos de inicio de sesión);
  • todas las modificaciones de los datos personales se registran y se almacenan en un registro;
  • los datos personales del controlador sólo se almacenan en ubicaciones en la nube dentro del servicio AWS que ofrece una alta protección de acceso físico y lógico, incluida la seguridad cibernética contra virus, malware y ataques de denegación de servicio;
  • la confidencialidad permanente de los datos está garantizada por los métodos de autenticación más avanzados, que el controlador puede ajustar según sea necesario (en términos de longitud, composición y duración de la contraseña);
  • la disponibilidad continua de los datos está garantizada por la supervisión constante del sistema en múltiples ubicaciones en todo el mundo y por los procesos de respuesta rápida en caso de estrés del sistema u otros problemas de rendimiento;
  • la resistencia de los sistemas de procesamiento está asegurada por el uso de múltiples centros de datos y de copias espejo de las bases de datos;
  • la capacidad de restablecer la disponibilidad y el acceso a los datos personales de forma oportuna en caso de un incidente físico o técnico se garantiza mediante un procedimiento adecuado de copia de seguridad/recuperación, que se comprueba periódicamente;
  • la protección contra el acceso no autorizado a los datos personales se comprueba constantemente mediante pruebas de penetración realizadas por una organización de ciberseguridad acreditada;
  • todas las medidas de seguridad se revisan periódicamente, también a la luz de la evolución de la tecnología y de la industria de la ciberseguridad.

Cumplimos con las disposiciones de los artículos 28(2) y 28(3), porque hemos revisado nuestros Términos y Condiciones para incluir todas las disposiciones que la ley requiere.

En lo que se refiere a la localización física de los datos, el acuerdo con nuestro proveedor de hosting, AWS, garantiza que los datos nunca saldrán de la región de AWS en Irlanda, y el acceso potencial a los datos por parte del personal de soporte de Cezanne HR está limitado en cualquier caso al acceso desde el Reino Unido o desde otros países miembros de la UE.

Tenemos acuerdos de procesamiento de datos con todos los sub-procesadores que son totalmente coherentes con todos los compromisos que tenemos con los clientes, incluyendo la garantía de que ningún dato personal pueda ser transferido o procesado fuera del espacio de la UE.

También cumplimos con otros aspectos del GDPR, como por ejemplo:

  • Contamos con procedimientos para gestionar las posibles filtraciones de datos
  • Nos comprometemos a ayudar a nuestros clientes en caso de solicitud de los interesados
  • Estamos abiertos a auditorías e inspecciones si así se solicita.
  • Todo nuestro personal que pueda tener acceso a los datos personales de nuestros clientes está plenamente capacitado en materia de seguridad y protección de datos y está sujeto a acuerdos de confidencialidad.
  • Contamos con procedimientos para devolver y/o borrar todos los datos personales de los clientes que han cancelado su suscripción al sistema.

Aunque la ley no lo exige estrictamente en nuestro caso, mantenemos los registros formales de acuerdo con el art. 30(2) de GDPR.

Hemos nombrado un responsable de la protección de datos de acuerdo con el artículo. 37(1) de GDPR. El nombramiento ha sido registrado en la OIC.

Aunque no es un requisito de GDPR, sino sólo un facilitador para probar el cumplimiento, estamos comprometidos a lograr la certificación ISO27001. El plan se certificará a finales de 2018.

Arquitectura de la aplicación

Cezanne HR está diseñado en torno a una arquitectura multinivel que se recomienda para aplicaciones basadas en web. La arquitectura divide la funcionalidad de la aplicación en capas independientes: la capa de presentación (o navegador de cliente), la lógica de negocio (servidor de aplicaciones) y la capa de datos (base de datos).

La capa de presentación nunca se comunica directamente con la capa de base de datos. Toda la comunicación se realiza a través de la lógica de negocio, que proporciona sus propias comprobaciones de seguridad antes de permitir el acceso a los datos. Esto evita que las peticiones de un navegador web vayan directamente a la base de datos. La aplicación también verifica el rol de usuario en cada solicitud.

Cifrado de datos

El servicio utiliza un fuerte cifrado para proteger los datos de los clientes (que se almacenan en un sistema de archivos cifrados) y las comunicaciones, incluida la certificación SSL de Network Solutions. SSL (Secure Sockets Layer) es la tecnología de seguridad estándar para crear un enlace cifrado entre un servidor web y un navegador. Sabrás que has creado un enlace SSL cuando la URL esté en verde, comienza con "https://" y hay un símbolo de candado al principio o al final de la URL.

Autenticación de usuarios

Se utilizan mecanismos seguros para verificar la identidad de los usuarios que intentan acceder al sistema. Para acceder al sistema, el usuario debe introducir un nombre de usuario (dirección de correo electrónico) y una contraseña o autenticarse a través de un proveedor de Single Sign-On (SSO) aprobado.

Las contraseñas están protegidas mediante sofisticadas técnicas de hashing and salting; Cezanne HR sólo almacena hashing de contraseñas, nunca las contraseñas en sí mismas.

Puedes establecer reglas en el sistema para hacer cumplir una política de contraseñas segura, incluyendo:

  • Inclusión obligatoria de al menos una letra mayúscula y minúscula, un número y un símbolo.
  • Longitud mínima y máxima de la contraseña.
  • Fechas de caducidad con recordatorios.
  • Historial de contraseñas para evitar que los usuarios vuelvan a utilizar sus contraseñas dentro de un período definido por el cliente.
  • Número máximo de intentos de inicio de sesión fallidos antes de que la cuenta se bloquee temporalmente.
  • También puedes elegir cuáles de las opciones de SSO (por ejemplo, Google, Microsoft, Twitter, Facebook y OpenID) están disponibles para los usuarios. Sólo los identificadores que están protegidos con SSL pueden utilizarse cuando la opción OpenID SSO esté activada.

Autorización de usuario

La autorización de usuarios se controla a través de la seguridad dinámica basada en roles. Los empleados se asignan a funciones como, por ejemplo, administrador de personal, administrador de personal restringido, responsable técnico o empleado de autoservicio. A continuación, el sistema asigna dinámicamente permisos a los usuarios individuales para ver, modificar o eliminar información, o acceder a diferentes áreas de funcionalidad, en función de sus responsabilidades en la empresa. Por ejemplo, los superiores técnicos pueden ver más información sobre los empleados que dependen de ellos que sobre otros empleados.

Es importante destacar que Cezanne HR ha sido desarrollado con una funcionalidad de inteligencia de negocio integrada. Esto significa que el acceso a los cuadros de mando, las consultas y las exportaciones de datos se controlan mediante las mismas reglas que rigen el acceso a las funciones o la información de la base de datos.

Hosting de primera línea

Tu software de RRHH en la plataforma líder mundial

Tu servicio de software de Recursos Humanos de Cezanne HR está alojado en los centros de datos europeos de AWS de Amazon. AWS es reconocido como el líder mundial en Infraestructura en la Nube como proveedor de servicios. Sus centros de datos son probados, seguros y fiables y sus certificaciones abarcan ISO27001, SOC 1/SSAE 16 (antes SAS70), SOC 2 y más. La infraestructura de AWS también tiene una serie de características de seguridad incorporadas, como la protección de denegación de servicio distribuida (DDoS) y la detección de contraseña de fuerza bruta en las cuentas de AWS.

Además, nuestro contrato con AWS establece que no moverán ningún contenido de la región europea sin notificárnoslo previamente. Si esto ocurre, por supuesto, te lo notificaremos y tomaremos las medidas necesarias para garantizar que tu contenido permanezca dentro de la UE. Esto es especialmente importante a la luz de los recientes cambios en la legislación sobre protección de datos.

Para más información sobre la protección de datos de AWS EU y el cumplimiento de GDPR, por favor visita https://aws.amazon.com/compliance/eu-data-protection/

Seguridad del Sistema Interno

Dentro del entorno AWS, los sistemas están protegidos por cortafuegos entre capas, restricciones de IP y puertos, subredes privadas y restricciones de enrutamiento de la red.

Seguridad del sistema operativo

Las instancias del sistema operativo se endurecen al deshabilitar o eliminar cualquier herramienta no esencial, utilidades y otras opciones de administración del sistema que puedan proporcionar una posible entrada por la puerta trasera al sistema, y al deshabilitar o eliminar cualquier usuario, protocolo y proceso innecesario. Nuestros procedimientos de instalación y configuración se basan en normas y herramientas reconocidas en la industria.

Seguridad de la gestión del servidor

Cezanne HR no tiene acceso físico al centro de datos ni a las máquinas físicas, ya que esto está prohibido por Amazon. Cezanne HR puede acceder a las instancias de la máquina virtual con fines de mantenimiento, aplicación de actualizaciones de seguridad, monitorización y garantía de que las copias de seguridad se están ejecutando con éxito. Esto se limita al equipo de Servicios Gestionados de Cezanne HR.

Resistencia

Al comprar una solución de Software as a Service (SaaS), es fundamental que el servicio sea resistente y fiable. Para garantizar una alta disponibilidad, el servicio de Cezanne HR incluye:

  • Instalación en múltiples centros de datos de la UE - tu software Cezanne HR continuará funcionando si una máquina o un centro de datos falla.
  • Monitoreo las 24 horas - la disponibilidad del sistema es monitoreada continuamente y se envía una alerta al equipo de soporte en caso de que ocurra un problema.
  • Monitorización externa desde cualquier lugar del mundo para alertar a Cezanne HR de problemas inesperados de latencia o DNS.
  • Monitoreo de los recursos, incluyendo el uso de CPU, disco y memoria para que podamos escalar cuando y como sea necesario.

Brexit & your Cezanne HR service

Periodo de transición y posteriores

No cambiará nada durante el periodo de transición

El periodo de transición empieza el 1 de febrero de 2020 y termina el 31 de diciembre de 2020. Durante el periodo de transición, aunque Reino Unido no forme parte de la Unión Europea, “todas las alusiones a los miembros de la Unión Europea en disposición a la ley de la Unión Europea (que incluye la GDPR) Reino Unido será interpretado como incluido en la Unión Europea” (art. 7 de Withdrawal Agreement).

Después del periodo de transición

En 2021, la GDPR (que es una ley de la Unión Europea), dejará de aplicar de forma automática a Reino Unido, y la Normativa de Protección de datos, que actualmente está totalmente alineada con el GDPR, teóricamente podrá diferir aun así, el consenso actual es que sigan alineadas. Independientemente del nivel de alineamiento, en términos legales las dos leyes dejarán de ser una, y algunos ajustes de los contratos referentes a la GDPR serán requeridos. Los ajustes en dichos contratos y como se formalizarán dependen del acuerdo alcanzado (o no) durante las nuevas negociaciones entre Reino Unido y la UE.

Hospedaje y procesamiento de la información personal del cliente

Cezanne HR aloja y procesa la información personal del cliente dentro de la UE en AWS (Amazon Web Services), específicamente en su centro datos situados en la República de Irlanda. Para los administradores de información (clientes que utilizan Cezanne HR como su procesador) situados en el Reino Unido y que transfieran su información personal a un país dentro de la Unión Europea, tienen permitido hacer transferencias de su información personal bajo la Normativa de Protección de datos 2018 que cumple con la ley de protección de datos de la Unión Europea. Para los controladores que se encuentran en la Unión Europea, la información personal permanece en la Unión Europea no presentando así ningún problema.
Esto se aplicará durante el periodo de transición y será muy probablemente aplicable después de dicho periodo, al menos que el gobierno de Reino Unido redacte una nueva ley.

Servicio al cliente operado dentro del Reino Unido

El servicio de soporte y atención al cliente opera dentro del Reino Unido. Cuando el personal de soporte de Cezanne dé asistencia, tendrá acceso a la base de información personal del cliente, información personal transferida desde la Unión Europea al Reino Unido, permitida por un tiempo temporal. Para poder continuar teniendo acceso legal a la base de datos o recibiendo archivos para seguir dando atención al cliente, al final de dicho periodo de transición, adaptaremos nuestros acuerdos para asegurar que nunca transferiremos información personal fuera de la Unión Europea.
Para hacer que el traspaso de información personal en el Reino Unido sea legal, actualmente el ICO recomienda usar Cláusulas de Contratación Estándar, instrumento legal desarrollado por la Comisión Europea, que pueden ser o no la correcta herramienta para el 2021, dependiendo del acuerdo final al que se llegue entre el Reino Unido y la Unión Europea, para el flujo del traspaso de datos de información personal.

Registro con la autoridad encargada de monitorizar la aplicación del GDPR

Cezanne HR está registrada en el ICO, la cual es la autoridad supervisora de la ley de protección de datos en el Reino Unido. Durante el periodo de transición esto será suficiente para el cumplimento del GDPR en todos los países de la Unión Europea al igual que en el Reino Unido. Al final del periodo de transición, Cezanne HR se registrará, mediante un representante asignado y junto con la autoridad supervisora correspondiente, en uno de los miembros de los estados europeos.

IVA en las facturas de los clientes en la Unión Europea

Durante el periodo de transición las facturas de los clientes de la Unión Europea seguirán estando sujetos al IVA, sin embargo, no será añadido como cobro adicional en la factura puesto que el IVA se maneja bajo el régimen de “cobro reverso” del servicio de ventas dentro de la UE (excepto para clientes que sean tratados como consumidores a los cuales el IVA se encontrará añadido en la factura). Después del periodo de transición, los clientes de la Unión Europea no estarán sujetos al IVA, a no ser que los acuerdos entre el Reino Unido y la Unión Europea indiquen lo contrario.


Trabajando con nuestros asesores legales, seguiremos monitorizando de cerca la situación y tomaremos las medidas necesarias para asegurar que seguiremos dándole un amplio y seguro servicio de RRHH que sigue rigurosamente la ley y en el cual puede confiar.
Si tuviese alguna pregunta o duda al respecto, por favor, no dude en ponerse en contacto con nuestro equipo el cual estará a su disposición para responderle ante cualquier problema.

Nota: La información de esta página se refiere a los módulos desarrollados por Cezanne HR. No cubre módulos de terceros comercializados por Cezanne HR que puedan tener una arquitectura de alojamiento y seguridad diferente.

El uso del servicio de software de Cezanne HR está sujeto a los términos y condiciones del contrato de suscripción a Cezanne HR. Cezanne HR se reserva el derecho de modificar su infraestructura de seguridad de acuerdo con este acuerdo. Ponte en contacto con nosotros si deseas una copia de este acuerdo.

Suscríbete a nuestra Newsletter

Suscríbete Ahora