Mantener la seguridad, privacidad y confidencialidad de los datos de nuestros clientes es una de nuestras principales prioridades.
En esta página se establecen las salvaguardas administrativas, físicas y técnicas ("controles") implantadas por Informa D&B para proteger la información de los clientes. Informa D&B actualiza periódicamente estos controles, de manera que reflejen los cambios en su postura de seguridad, con el objetivo de mejorar continuamente su grado de eficacia. Dichos controles forman parte de los acuerdos de Informa D&B ("acuerdo") con sus clientes y están diseñados adecuadamente para proteger, de conformidad con la legislación aplicable a la prestación de servicios, la confidencialidad, integridad y disponibilidad de los datos de los clientes frente a amenazas o peligros previstos o reales; contra el acceso, el uso, la divulgación, la alteración o destrucción no autorizados o ilegales; y la pérdida, destrucción o daño accidental. Informa D&B mantiene, además, políticas, normas y procedimientos de seguridad diseñados para preservar el tratamiento de la información de los clientes por parte de sus empleados y subcontratistas de conformidad con estos controles.
El entorno de control de Informa D&B refleja la actitud general, el grado de conciencia y las acciones del órgano de gobierno, la dirección y los empleados de Informa D&B en lo que concierne a la importancia de los controles y su énfasis dentro de la organización. En Informa D&B el entorno de control comienza al más alto nivel de la empresa. La alta dirección y el órgano de gobierno desempeñan un papel importante en el establecimiento de los valores centrales de la empresa, además de definir sus principios rectores.
En Informa D&B damos gran importancia a nuestras relaciones y a la confianza de nuestros clientes y socios. En el actual entorno de alta tecnología entendemos que un plan de seguridad ágil y fácilmente adaptable es vital para la integridad de nuestro negocio, y la privacidad y seguridad de los datos confidenciales y de propiedad es una de nuestras máximas prioridades. Evaluamos y desarrollamos nuestra seguridad, disponibilidad y los controles de confidencialidad para mantenernos al día sobre el panorama actual de amenazas. El entorno de control de Informa D&B representa el esfuerzo colectivo y el efecto de varios factores en el establecimiento, la mejora o la eficacia de controles específicos de mitigación de riesgos.
Informa D&B ha nombrado un Chief Information Security Officer (CISO), que supervisa el plan de seguridad global de la información en nuestra organización. El equipo de seguridad global y riesgos trabaja con todas las líneas de negocio de la empresa, desarrollando una estrategia de seguridad de la información en línea con los objetivos establecidos. El propósito es reducir la probabilidad y el impacto de ataques e incidentes de seguridad en nuestros activos de información y en los de nuestros clientes y de terceros.
En Informa D&B estamos comprometidos con la seguridad y confidencialidad de nuestros clientes, ya sea cuando utilizan nuestros productos y servicios. Además, Informa D&B se certifica anualmente conforme a la norma ISO/IEC 27001 Information Security Management Systems (ISMS)
Informa D&B sigue las mejores prácticas de clasificación de la información, utilizando las siguientes etiquetas: "público", "uso interno", "comercial confidencial" y "confidencial". Los datos así clasificados son contenidos que Informa D&B adquiere, procesa, analiza y ofrece en forma de productos para que los clientes los utilicen para satisfacer sus necesidades empresariales. El objetivo del uso que se hará de estos datos debe entenderse antes de su utilización. Protegemos estos datos mediante una combinación de tecnologías preventivas y de detección, como sistemas de cifrado y detección de intrusiones. Junto a estas medidas de seguridad, hemos adoptado políticas y procedimientos destinados a validar y aplicar nuestros controles de seguridad. El acceso a estos datos está restringido al personal autorizado mediante controles de acceso físicos y lógicos.
Los miembros y las actividades del equipo global de seguridad y riesgos se encuadran en los siguientes ámbitos y controles:
En Informa D&B, la seguridad es un valor responsabilidad de todos, y comprendemos que todo comienza por nuestros empleados. Hacemos una comprobación de antecedentes previa a la contratación. Nuestro personal recibe desde el inicio formación en seguridad a medida, y posteriormente con carácter anual. A lo largo de cada año, seguimos compartiendo y reforzando la comunicación sobre las mejores prácticas de seguridad para que todo nuestro personal esté al día de las últimas tendencias.
Las políticas, las normas, los procedimientos y las directrices son un componente crítico de la gobernanza en Informa D&B, al proporcionar la estructura y las reglas en torno a las cuales la organización opera. Las políticas se revisan con los responsables para garantizar su alineamiento con los objetivos de la empresa y su adecuación y eficacia permanentes.
Esta práctica permite el alineamiento con los diferentes reglamentos y mejora nuestra capacidad para abordar las amenazas a la seguridad a las que tengamos que hacer frente. El conjunto de políticas se basa en frameworks externos sobre estándares de ciberseguridad y se alinea con otros elementos que deben tenerse en cuenta, como la familia de normas sobre tecnologías de la información 27000 de la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional (ISO/IEC).
Una vez aprobadas, las políticas revisadas se publican en un repositorio interno de la empresa para que los empleados puedan acceder a ellas fácilmente desde sus puestos de trabajo. Los cambios significativos en las políticas se comunican, según sea necesario, a través de reuniones, mensajes de correo electrónico, presentaciones, por la intranet de la empresa y/o mediante comunicaciones a todo el personal.
Además de nuestras políticas, mantenemos procedimientos de conformidad para el tratamiento de datos protegidos al objeto de cumplir las obligaciones legales, reglamentarias, contractuales y de seguridad aplicables.
Los derechos de acceso y privilegios necesarios para desempeñar la función de usuario se conceden de acuerdo con:
Los usuarios autorizados deben autenticarse en la red, las aplicaciones y las plataformas utilizando su identificación de usuario y contraseña. La autenticación de usuarios y dispositivos en los sistemas de información se realiza mediante contraseñas, que cumplen los requisitos de complejidad de contraseñas de Informa D&B.
En caso de cese de la relación laboral, se revoca el acceso a los productos y sistemas.
Las conexiones de red están protegidas mediante una combinación de controles de seguridad para proteger los datos y los sistemas. Estos controles se basan en el tipo y la finalidad de conexión e incluyen, aunque no se limiten a ellos, la segmentación de la red, el uso de firewalls y otros dispositivos de seguridad, además de mecanismos de autenticación adecuados.
El acceso a la información disponible a través de la red está controlado para evitar y detectar accesos no autorizados, al tiempo que permite un acceso seguro de los usuarios a los sistemas autorizados. Las actividades y el tráfico de red se registran y los registros se almacenan, utilizándose mecanismos de recogida específicos de la industria o del proveedor.
Los dispositivos implementados en la red de Informa D&B se configuran para cumplir los requisitos de seguridad, teniendo en cuenta los objetivos específicos (internos, orientados al exterior, desmilitarizados). Los servicios de red no esenciales se desactivan o eliminan.
El acceso público directo a través de redes públicas (por ejemplo, Internet) a cualquiera de las redes internas de Informa D&B está restringido. El tráfico entrante y saliente de redes no confiables (incluidos conexiones inalámbricas externas o guests) y hosts está restringido.
La conexión de una nueva red a redes de sistemas comerciales o de la Compañía, ubicadas dentro de la Compañía, o a un centro de datos, sigue las mejores prácticas internacionales.
La información sensible no se transmite por Internet ni por otras redes de comunicación públicas, a menos que sea cifrada en tránsito. Los archivos de datos utilizan la seguridad del protocolo de cifrado TLS (protocolo de seguridad de la capa de transporte) para sesiones de comunicación por Internet.
Informa D&B utiliza procedimientos de gestión de claves de cifrado para ayudar a garantizar la generación, el almacenamiento, la distribución y la destrucción segura de las claves de cifrado.
Informa D&B investiga los incidentes relacionados con la seguridad, la disponibilidad, la confidencialidad y la privacidad de forma apropiada y coordinada y responde a cualquier violación real o sospechosa de la seguridad de los sistemas de información de Informa D&B, cumpliendo al mismo tiempo las leyes y reglamentos aplicables. Informa D&B efectúa ejercicios de seguridad, simulando escenarios reales, como mínimo una vez al año.
Informa D&B ha desarrollado y mantiene prácticas que establecen la clasificación y priorización de incidentes de seguridad de la información, en función de la gravedad del incidente y de la sensibilidad de los sistemas y datos afectados. Para apoyar estos esfuerzos, Informa D&B ha implantado y monitoriza alertas de diversas herramientas que garantizan una detección eficaz.
Existen herramientas de supervisión cuyo objetivo es medir la utilización actual en función de thresholds predefinidos y generar alertas para notificar a los equipos de aplicación y de soporte a infraestructuras cuando se superan los umbrales. Las alertas se revisan para determinar si es necesario tomar acciones correctivas. Si se requieren medios de información adicionales para responder a las necesidades de utilización, se implantarán, de conformidad con las políticas formales de gestión de activos y gestión del cambio.
Los sistemas de registro de auditoría están configurados para registrar actividades y eventos significativos para la seguridad de la información, en los sistemas de Informa D&B.
Los servidores, estaciones de trabajo y dispositivos móviles se monitorizan mediante agentes específicos como, por ejemplo: inventory discovery.
Los datos de los ordenadores portátiles se protegen mediante cifrado. El software antimalware se instala y mantiene en las plataformas susceptibles de verse comprometidas.
El uso de medios electrónicos extraíbles está restringido.
Las normas de configuración se elaboran y revisan anualmente. Periódicamente se realizan revisiones de seguridad para garantizar su cumplimiento y se tienen en cuenta las recomendaciones de los proveedores y las mejores prácticas de la industria.
La seguridad del software y de las aplicaciones de Informa D&B se evalúa mediante un programa de gestión de vulnerabilidades y se rige por la política y las normas de desarrollo seguro.
En función de la clasificación de riesgo de la aplicación, el software se somete a las revisiones y pruebas pertinentes, incluidas las revisiones de diseño y las pruebas de seguridad de aplicaciones estáticas (SAST). Los resultados de las pruebas se registran y analizan mediante un sistema de gestión de la seguridad de las aplicaciones adecuado.
Informa D&B ha implantado un proceso de gestión de vulnerabilidades para monitorizar continuamente las vulnerabilidades detectadas por los provedores, reportadas por investigadores o descubiertas internamente mediante el escáner de vulnerabilidades o actividades de Red Team.
Las vulnerabilidades se documentan y clasifican por nivel de gravedad, teniendo en cuenta la probabilidad y el impacto previsibles. Informa D&B asigna el equipo o equipos adecuados para llevar a cabo la corrección y seguir el proceso hasta su resolución, según proceda. Las vulnerabilidades críticas deben resolverse inmediatamente; las de alta gravedad, a corto plazo; las de gravedad media, a medio plazo; y los planes de mitigación deben ir acompañados de un proceso de gestión del riesgo residual.
Los nuevos empleados completan la formación sobre seguridad, código de conducta y privacidad como parte del proceso de incorporación a la organización. Posteriormente reciben formación anual y específica (según sea necesario y adecuado a su función) para ayudar a mantener la conformidad con las políticas de seguridad de Informa D&B así como con otras políticas de la empresa, como el código de conducta y las políticas y procedimientos de privacidad. Informa D&B realiza periódicamente campañas de concienciación sobre seguridad y pruebas específicas para concienciar a sus empleados sobre sus responsabilidades y orientarles sobre la creación y el mantenimiento de un lugar de trabajo seguro.
Este proceso sigue un marco global definido para el suministro y el ciclo de vida de la gestión de riesgos en los momentos de selección, utilización, supervisión y cese de la relación. Se establecen normas para determinar los requisitos de seguridad y due diligence (que incluyen cumplimiento, privacidad y tecnología) para terceros (incluidos nuestros proveedores y socios comerciales) que operan con Informa D&B. Estas entidades deben seguir las orientaciones de nuestras políticas, cumplir nuestras normas y adoptar nuestros procedimientos de seguridad de la información aplicables al servicio prestado.
Mediante evaluaciones continuas, identificamos las amenazas potenciales y su impacto en el negocio y desarrollamos planes de mitigación adecuados. Nuestras estrategias y nuestros planes de continuidad de negocio y recuperación ante desastres están diseñados para responder a los sucesos más típicos, ya sean naturales o no, como catástrofes naturales o desastres provocados por el hombre. Los planes siguen las mejores prácticas de la industria y se ajustan específicamente a los principios de la norma ISO/IEC 22301:2012 (Sistema de gestión de continuidad de negocio).
Nuestras normas de seguridad física están diseñadas para restringir el acceso físico no autorizado a los recursos del centro de datos. Los sistemas de la empresa y los componentes de la infraestructura de red están ubicados físicamente en zonas de acceso controlado. Las medidas de control pueden incluir: puntos de acceso limitados, lectores de acceso, acceso supervisado por cámaras de vigilancia, limitación del acceso al personal autorizado.
El recurso a nuestros proveedores de centros de datos alojados significa que la identificación, detección y protección de amenazas físicas y ambientales (infraestructura, datos y software) se gestionan mediante requisitos de cumplimiento de terceros y acuerdos de nivel de servicio (SLA).
