Protección y seguridad de los datos

¿Por qué es fundamental la seguridad de los datos y qué significa en Appy Pie?

En el mundo digital, la importancia de la seguridad de los datos es fundamental, no sólo para nuestros clientes, sino también para sus clientes. La vulnerabilidad de los datos en cualquier fase puede acarrear graves consecuencias para todo el ecosistema.

Como propietario de un negocio, cuando elige un servicio o una plataforma para ofrecer sus productos y servicios a sus clientes, está eligiendo esencialmente el vínculo entre usted y los clientes. Por ello, es importante que la plataforma cumpla con los estándares de seguridad óptimos y cuente con la certificación adecuada para brindar protección a toda esa información sensible que está recolectando de sus datos. Estos datos pueden incluir las direcciones de correo electrónico, las direcciones físicas, los números de contacto, la información de pago o cualquier otro dato sensible.

Usted tiene la responsabilidad ante sus clientes de que cualquier dato de este tipo que le proporcionen en el transcurso del negocio se mantenga seguro, se trate de forma ética y nunca se comparta con nadie sin su conocimiento o consentimiento.

En Appy Pie, tomamos estrictas medidas de seguridad y nos dedicamos a asegurarnos de que no haya vulnerabilidades en nuestros procesos en ningún momento. AppyPie.com le ayuda a ofrecer seguridad de clase empresarial y cumplimiento a sus clientes a través de cada interacción.

A continuación se enumeran las certificaciones y las medidas de cumplimiento adoptadas por AppyPie.com para garantizar que nuestros clientes y sus clientes estén protegidos de cualquier actividad sin escrúpulos.

Cumplimiento de PCI DSS

La pasarela de pago utilizada por Appy Pie cumple con la normativa PCI DSS. Hemos entrado en 2019 con preocupación e inquietud por la vulnerabilidad de los datos, las brechas y las filtraciones. Por ello, la seguridad sigue siendo un tema candente y una cuestión de interés público.

Appy Pie se encarga de asegurar que la información de pago de sus clientes esté protegida en todo momento. Stripe, el procesador de pagos de Appy Pie que cumple con la norma PCI para las solicitudes de facturación & conserva la dirección postal de los clientes, junto con la fecha de caducidad de la tarjeta de crédito y el CVV.

Puede solicitar “No vender mis datos” rellenando este formulario.

Certificación SOC 2

Nuestros clientes confían en nuestra plataforma lo suficiente como para dejarnos gestionar sus procesos críticos, como la facturación, el cobro, etc., y a cambio les aseguramos que sus intereses y la privacidad de sus clientes son valorados y protegidos.

La certificación SOC 2 garantiza que los proveedores de servicios SaaS, como Appy Pie, gestionan sus datos de forma segura para que sus intereses y la privacidad de sus clientes estén siempre protegidos.

El cumplimiento del SOC de Appy Pie es especialmente adecuado para las empresas que necesitan controlar sus informes financieros internamente, y para mostrar a los proveedores que han desplegado controles internos durante las auditorías.

Puede solicitar “No vender mis datos” rellenando este formulario.

ISO 22301:2019

Seguridad social – Sistemas de gestión de la continuidad del negocio – Requisitos, es una norma de sistemas de gestión que especifica los requisitos para planificar, establecer, implementar, operar, supervisar, revisar, mantener y mejorar continuamente un sistema de gestión documentado para protegerse contra, reducir la probabilidad de ocurrencia, prepararse para, responder a, y recuperarse de incidentes perturbadores cuando surjan.

Contamos con la certificación ISO 22301:2019 y estamos preparados para gestionar y recuperarnos de cualquier incidente perturbador, si se produjera.

  • Appy-Pie-LLPAppy-Pie-LLP

ISO 27001:2013

La certificación ISO 27001 es una certificación para un sistema de gestión de la seguridad de la información (SGSI), que es esencialmente un marco de políticas y procedimientos. Incluye todos los controles legales, físicos y técnicos relacionados con el proceso de gestión del riesgo de la información de una organización, cuyo objetivo es mantener la información segura.

Contamos con la certificación ISO 27001:2013 y estamos comprometidos con la identificación de riesgos, la evaluación de implicaciones y la implantación de controles sistematizados que inspiren confianza en todo lo que hacemos.

  • Appy-Pie-LLCAppy-Pie-LLC
  • ISO27001 Appy-Pie-LtdAppy-Pie-Ltd
  • ISO27001-LLPISO27001-LLP


Plantilla voluntaria de accesibilidad de productos (VPAT)

Appy Pie ha creado una Plantilla Voluntaria de Accesibilidad del Producto (VPAT) que se ajusta a las Normas de la Sección 508. Detalla cada aspecto de los requisitos de la Sección 508 y cómo apoyamos cada criterio.

Nuestro VPAT contiene documentación sobre la Sección 508 (actualización de 2017), las Directrices de Accesibilidad al Contenido en la Web (WCAG) 2.0, los criterios de éxito y los requisitos de conformidad (niveles A, AA, AAA), así como las normas europeas de accesibilidad EN 301. Puede consultar el informe completo aquí.

GDPR

Appy Pie cumple con el GDPR y procesa todos los datos personales de acuerdo con las directrices establecidas por el reglamento que son aplicables a los servicios de Appy Pie y la plataforma.

El RGPD hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.

Puede solicitar “No vender mis datos” rellenando este formulario.

Mecanismo de transferencia de datos de la UE

El GDPR se aplica principalmente a los controladores y procesadores ubicados en el Espacio Económico Europeo o EEE y si los datos personales se transfieren fuera del EEE, existe el riesgo de perder la protección del GDPR. Por este motivo, el GDPR restringe la transferencia de datos personales fuera del EEE, a menos que los derechos de las personas estén protegidos de alguna manera. Hasta hace poco había dos formas de hacerlo: el Escudo de Privacidad UE-EEUU y las Cláusulas Contractuales Tipo.

Sin embargo, recientemente el Tribunal de Justicia de la Unión Europea ha invalidado el marco de transferencia de datos entre la UE y Estados Unidos. Sin embargo, las cláusulas contractuales tipo siguen siendo válidas como herramienta o mecanismo para la transferencia de datos a los encargados del tratamiento fuera de la UE, Suiza o el Reino Unido.

En Appy Pie, contamos con Cláusulas Contractuales Tipo (CCT) para la transferencia de datos, de modo que todos los datos personales están protegidos. Nosotros, en Appy Pie, nos comprometemos a permitir que nuestros clientes presten un servicio de atención al cliente de forma responsable, aplicando y respetando las políticas de cumplimiento prescritas, tanto en calidad de controlador como de procesador de datos.

CCPA

La Ley de Privacidad del Consumidor de California es una ley estatal que tiene como objetivo mejorar los derechos de privacidad y la protección del consumidor para los residentes de California.

Appy Pie cumple con la CCPA y es transparente con respecto a todos los datos personales que se recogen de los clientes a través de la plataforma. Para leer la política de CCPA de Appy Pie, haga clic aquí.

Puede solicitar “No vender mis datos” rellenando este formulario.

Pruebas de penetración, escaneo de vulnerabilidades y parches

Como práctica, en Appy Pie comprobamos y aplicamos parches para el software/servicios de terceros. En caso de que se descubra alguna vulnerabilidad, aplicamos las correcciones con la máxima prioridad. Además, todos los meses se realiza un escaneo de vulnerabilidad con los servicios de Amazon Inspector.

Appy Pie ha conseguido que las pruebas de penetración sean realizadas por expertos de terceros – Bishop Fox y el informe correspondiente se puede obtener enviando un correo electrónico a [email protected]

Seguridad física y de la red

Appy Pie tiene su centro de desarrollo en NSEZ, Noida (India), y oficinas de ventas / soporte en Warrenton, Virginia (EE.UU.) y Londres (Reino Unido) y Noida (India). La oficina está equipada con cámaras de vigilancia y sus imágenes son supervisadas periódicamente por personal autorizado. Las alarmas contra incendios y los aspersores de agua están instalados para detectar y mitigar los daños en el improbable caso de un incendio. Además, el equipo de gestión de las instalaciones realiza periódicamente simulacros de incendio para instruir a los empleados sobre los procedimientos de evacuación de emergencia. La oficina está equipada con un suministro de energía 24×7, apoyado por un sistema alternativo de suministro de energía ininterrumpida para garantizar el buen funcionamiento en caso de corte de energía.

Todas las aplicaciones de Appy Pie se crean y alojan en Amazon Web Services y la infraestructura de bases de datos y servidores de aplicaciones es gestionada y mantenida por Amazon.

La primera capa de protección de la aplicación la proporciona el firewall de AWS, que está equipado para contrarrestar los ataques DDoS regulares y otras intrusiones relacionadas con la red. La segunda capa de protección la ofrece el propio cortafuegos de aplicaciones de Appy Pie, que supervisa las IPs, los usuarios y el spam infractores. Cabe destacar que todas las contraseñas de las cuentas que se almacenan en la aplicación tienen un hash unidireccional y sal.

Appy Pie utiliza un modelo de datos multi-tenant para alojar todas sus aplicaciones. Es a través de una nube privada virtual individual que Appy Pie da servicio a cada aplicación en la que se asigna un ID de inquilino único a cada cliente. La aplicación se ha diseñado y verificado para garantizar que sólo se puedan obtener los datos del inquilino que ha iniciado la sesión. Este diseño estratégico garantiza que ningún cliente pueda acceder a los datos de otro. El acceso a la aplicación por parte del equipo de desarrollo de aplicaciones también se controla, gestiona y audita. Cada vez que se accede a la aplicación y a la infraestructura, se crea un registro detallado que posteriormente se audita.

Le invitamos a venir a nuestra sede física y examinar las medidas de seguridad adoptadas en el lugar concertando una cita con nosotros a través del correo electrónico [email protected].

Operaciones administrativas

Al ser una organización responsable y respetada, estamos muy atentos a la protección de nuestros datos y a la seguridad de los datos de nuestros clientes. Los empleados de la organización sólo pueden acceder a la oficina previa autorización mediante tarjetas inteligentes y a las zonas sensibles de la oficina sólo puede acceder el personal autorizado.

Protección contra la pérdida de datos

Como medida para proporcionar una óptima protección contra la pérdida de datos, en Appy Pie utilizamos el líder mundial en protección contra la pérdida de datos: Endpoint Protector de CoSoSys, que impide cualquier transmisión inapropiada de datos a través de medios físicos o digitales. Esto significa que los datos de la empresa no pueden copiarse a ningún otro dispositivo de almacenamiento masivo, ni pueden enviarse por correo electrónico como archivo adjunto o de cualquier otra forma utilizando su potente seguridad.

Almacenamiento de datos

La protección y seguridad de los datos de los clientes es un asunto serio para Appy Pie, por lo que gestionan la seguridad de su aplicación y de los datos de los clientes con sinceridad y responsabilidad. Sin embargo, el aprovisionamiento y la gestión del acceso a las aplicaciones individuales creadas mediante la plataforma queda a discreción de los propietarios de las mismas.

El equipo de desarrollo de Appy Pie no tiene acceso a los datos de los servidores de producción, sin embargo, cualquier cambio en la aplicación, la infraestructura, el contenido web y los procesos de despliegue se documentan ampliamente como parte de un proceso interno de control de cambios.

Nuestra plataforma recoge información limitada sobre nuestros clientes que incluye su nombre, dirección de correo electrónico y teléfono, y estos datos se conservan únicamente para la creación de la cuenta. Stripe, el procesador de pagos de Appy Pie que cumple con la norma PCI para las solicitudes de facturación & conserva la dirección postal de los clientes, junto con la fecha de caducidad de la tarjeta de crédito y el CVV.

Appy Pie se toma muy en serio la integridad y la protección de los datos de los clientes y mantiene dos tipos de historial de datos: los registros de la aplicación del sistema y los datos de la aplicación y de los clientes. Todos estos datos se almacenan en la plataforma de computación en la nube de última generación de Amazon, AWS, y se realizan copias de seguridad cada seis horas en múltiples ubicaciones.

Las copias de seguridad de la base de datos se realizan diariamente y se mantienen durante 35 días. La copia de seguridad de los datos de los clientes se realiza de dos maneras:

  1. Se mantiene una copia de seguridad continua en diferentes centros de datos en caso de fallo del sistema en el centro de datos principal. Gracias a la robusta copia de seguridad, en caso de una improbable catástrofe en cualquiera de los centros de datos, nuestros clientes sólo perderían cinco minutos de datos.

  2. Los datos se respaldan en un almacenamiento persistente todos los días y se conservan durante 15 días.

En Europa y Estados Unidos, se utiliza el estándar AES de 256 bits (fuerza de la clave – 1024) para cifrar los datos en reposo, con el servicio de administración de claves de AWS gestionando las claves. La encriptación estándar FIPS-140-2 sobre una conexión de socket segura, se utiliza para encriptar todos los datos en tránsito, para todas las cuentas alojadas en appypie.com. Además, hay una opción disponible para las cuentas que están alojadas en dominios independientes, que permite una conexión de socket seguro.

Se utilizan diversos entornos para el desarrollo y las pruebas, y se aplica un estricto sistema de gestión del acceso a los sistemas en función de la necesidad de hacer/conocimiento según la clasificación de la información, en el que se incorpora la segregación de funciones, que se revisa trimestralmente.

Seguridad móvil

Como práctica, en Appy Pie utilizamos la solución Kryptowire’s Mobile Application Security Testing (MAST) para hacer que todas las aplicaciones de Appy Pie sean seguras y garantizar la privacidad de los datos de todos los usuarios de nuestra plataforma.

Utilizamos Kryptowire para evaluar continuamente la seguridad y la privacidad de cualquier dispositivo móvil con respecto a las normas más estrictas de garantía de software reconocidas internacionalmente y publicadas por
– El Instituto Nacional de Normas y Tecnologías (NIST)
– Asociación Nacional de Seguridad de la Información (NIAP)
– Proyecto abierto de seguridad de las aplicaciones web (OWASP)

Eliminación o redundancia de datos

Al eliminar una cuenta, todos los datos asociados a ella se destruyen en un plazo de 14 días hábiles. Sin embargo, si el titular de una cuenta quiere hacer una copia de seguridad de sus datos, los productos de Appy Pie ofrecen opciones de exportación de datos.

Informar sobre problemas y amenazas

En el caso de que encuentres algún problema, incidente de seguridad (como violaciones y posibles vulnerabilidades) o fallos que puedan afectar a la seguridad de los datos o a la privacidad de los usuarios de Appy Pie, ponte en contacto con nosotros y escríbenos a [email protected] citando tus preocupaciones y detalles, para que podamos trabajar en ello lo antes posible.

Su solicitud se estudiará inmediatamente, y es posible que nos pongamos en contacto con usted y le pidamos que nos oriente para identificar o reproducir el problema y determinar los medios o idear estrategias para resolver la amenaza de inmediato.

La empresa tiene una política de privacidad, aprobada por un asesor jurídico interno, disponible públicamente en https://www.appypie.com/privacy-policy y la pasarela de pago (Stripe) utilizada por Appy Pie cumple con la normativa PCI.