Navigation SearchNavigation ContactNavigation Products

Un Enfoque Diferenciador: Seguridad e Integridad

Desde sus inicios, DDI ha valorado ampliamente la integridad de los datos.  DDI está comprometido a operar nuestros negocios de una manera que fomente la seguridad y la confianza, lo que incluye la administración y el uso apropiado de datos personales que nuestros colegas, clientes y proveedores nos hayan proporcionado.  Todos los asociados de DDI del mundo recibieron capacitación sobre las mejores prácticas de seguridad de datos que ayudan a proteger los datos del cliente.

Nuestra Misión de Seguridad

  • Ser completamente transparentes en torno a cómo podemos utilizar y administrar los datos.
  • Ayudar a nuestros clientes a maximizar los beneficios de sus datos y al mismo tiempo minimizar los riesgos potenciales.
  • Utilizar las mejores prácticas del mundo en nuestras políticas de datos y medidas de cumplimiento.
  • Entregar a nuestros clientes el nivel más alto de protección de datos y confidencialidad.

Nuestro Enfoque en la Seguridad de Datos

DDI emplea un enfoque múltiple sobre la Seguridad de la Información en la protección de datos del usuario (información del candidato, participante, alumno, administrador y del cliente) y sobre la prevención de la destrucción, la alteración y el acceso no autorizado.  Nuestras políticas y procesos están diseñados para:

  • Definir los mecanismos para proteger los datos y evitar su mal uso
  • Instruir a los asociados de DDI sobre la importancia de la administración segura de datos y el reconocimiento de las potenciales amenazas a la seguridad
  • Proporcionar un canal de comunicación para consultas externas acerca de esta política y sistemas asociados

Manejo de Seguridad

Para garantizar la integridad de los datos, DDI tiene recursos, políticas y procesos dedicados a la protección de datos, lo que incluye una Oficina de Seguridad de Datos y un Delegado de Protección de Datos que monitorea de manera habitual las normas mundiales. 

El Delegado de Protección de Datos (DPO) de DDI establece y refuerza la visión y la estrategia para la seguridad y el programa de cumplimiento de la empresa, con el objetivo de tener estabilidad mundial que asegure que los riesgos se manejen apropiadamente y que se alcancen los objetivos.

Capacitación de Seguridad

DDI realiza capacitaciones de manera regular para que los asociados de DDI aprendan sobre la confidencialidad, las mejores prácticas de seguridad y la privacidad de datos.   Se capacita a los usuarios finales para que reconozcan y eviten ataques de suplantación de identidad, trampas de ingeniería social, descargas y enlaces maliciosos.

Procesamiento de datos

DDI asume el rol de Controlador o Procesador de datos, según el contexto del negocio.  Cuando los datos se capturan y procesan en el contexto de marketing, ventas o investigaciones dirigidas por DDI, DDI actúa como un "Controlador de Datos" y cumple con todas las responsabilidades de seguridad de datos y requisitos previstos dentro de ese rol.  Cuando obtienen y procesan los datos en el contexto de un compromiso financiado por el cliente, el cliente asume el rol de Controlador de datos.  DDI funciona como un "procesador de datos" y cumple con todas las responsabilidades de seguridad de datos y requisitos previstos dentro de ese rol. 

Alianzas de Seguridad

La seguridad y confidencialidad de los datos de nuestros clientes es una responsabilidad compartida entre DDI y nuestros clientes.  DDI proporciona una plataforma segura en la que los clientes pueden acceder a sus datos y utilizarlos.  Además, DDI proporciona herramientas, servicios, apoyo y recursos que les permite a nuestros clientes garantizar la seguridad de sus datos durante todo el ciclo de vida del compromiso. Vea la Declaración de Privacidad de DDI.

Los clientes son responsables de la seguridad de sus datos durante y después de su colaboración con DDI.  Los clientes deben entender qué datos se recopilan y conservan en los sistemas de DDI y también definir la política de intercambio de datos adecuada para garantizar que los datos solo se compartan con aquellos que tienen autorización para acceder a ellos.  La política de intercambio de datos debe alinearse con el riesgo y el cumplimiento de los requisitos legales que se relacionan con la importancia y la clasificación de esos datos.

Clasificaciones de Datos

  • Datos personales incluyen cualquier información que pueda identificar a una persona. Solo recopilamos, accedemos, usamos o divulgamos datos personales con objetivos de negocio válidos y adecuados. Protegemos esta información de manera adecuada y no la compartimos con nadie, ni dentro ni fuera de nuestra empresa, que no tenga una necesidad del negocio actual y válida.
  • Los Datos Confidenciales/Delicados son cualquier activo de información para los cuales existen requisitos legales para prevenir la divulgación o cuando la revelación de tal información podría causar que se vea afectada la confidencialidad de la persona.  El acceso a datos confidenciales se restringe a los usuarios internos de DDI, quienes deben cumplir con los requerimientos de negocios o controles de seguridad acordados.  Las Aplicaciones del Software de DDI como un Servicio (SaaS) no adquieren ni almacenan información confidencial de activos. 
  • El Diagnóstico o Datos de Desempeño se obtienen en el proceso de cumplimiento de obligaciones contractuales con nuestros clientes, en el contexto prescrito y perteneciente al cliente.  El almacenamiento de datos de la aplicación de DDI tiene controles estrictos que impiden la divulgación de estos datos a terceros no autorizados.  El acceso a datos confidenciales se restringe a los usuarios internos de DDI, quienes deben cumplir con los servicios de negocios o controles de seguridad acordados, así como usuarios que los clientes hayan autorizado e identificado por la política de intercambio de datos.
  • Los datos públicos son información que está disponible para difundirla al público o a la que se puede acceder desde otras fuentes públicas.  Sin embargo, se considera confidencial o delicada a la mayoría de la información sobre las personas, incluso si se encuentra disponible públicamente.

"Acceso Privilegiado a Datos (Least-rights Access)"

De Datos

El acceso a todos los datos (independientemente de su clasificación) se proporciona mediante un modelo de seguridad "De Acuerdo a las Necesidades" (Least-rights Necessary), es decir, un modelo que se le otorga a aquellos con una necesidad de negocio legítima como usuarios finales, administradores del cliente y varios equipos de soporte al cliente y a DDI.  Se pueden utilizar medidas adicionales para garantizar que los datos están protegidos según los requisitos de cada clasificación.  Entre las personas a las que se les puede otorgar acceso se incluyen:

Usuarios Finales

Los usuarios finales son las personas que participan en un proceso en línea (como un examen o evaluación), o que crean o responden una encuesta.

Administrador del Clientes

Los administradores del cliente son los usuarios finales del sistema que gestionan las cuentas y los procesos de flujo de trabajo dentro de un sistema de aplicación de DDI, como la contratación de gerentes, profesionales del desarrollo del personal y otros roles de Recursos Humanos.  Los administradores pueden ser cliente asociado o asociado de DDI, quienes registran información personal a nombre de clientes o solicitantes y pueden darle seguimiento a través de diferentes fases del proceso. 

Personal de Soporte

Cuando un usuario solicita soporte técnico del equipo de Soporte de producto de DDI, dicho usuario podrá concederle acceso temporal a la cuenta a un representante de soporte.  Puede que el equipo de soporte deba ver la prueba, evaluación o encuesta de un usuario, como parte de la resolución de problemas de soporte.

Para Aplicaciones

Las aplicaciones utilizan un modelo de seguridad basado en el puesto para determinar los derechos de acceso. Los datos del cliente se separan basados lógicamente en el sitio, documento, usuario y otros criterios.  Los cambios del sistema se controlan mediante un método de mejores prácticas de administración del cambio (Change management).

Para Cuentas

A los usuarios finales se les otorgan permisos de "acceso de privilegio mínimo" para realizar sus trabajos de manera eficaz y eficiente.  Toda la administración y gestión de cuentas está estrictamente controlada por DDI. Las cuentas de usuario deben tener contraseñas seguras y protectores de pantalla protegidos con contraseña.  El acceso a la cuenta se desactivará automáticamente después de que ocurran muchos errores en el inicio de sesión o después del despido.

Para Bases de Datos

Miembros selectos de nuestro equipo de ingenieros tienen acceso a un nivel de base de datos. Este acceso se utiliza para crear respaldos fuera del sitio y para realizar restauraciones de datos. Todo esto se realiza sin visualizar los datos.

Para los Centros de Datos o Copias de Seguridad

Solo se le permite el acceso físico a los Centros de Datos a una lista de nombres de asociados de DDI. Acceso físico no significa acceder a los datos. Los medios físicos se encuentran en los servidores en un gabinete cerrado. Los respaldos fuera del sitio se almacenan en una habitación segura resistente al fuego. El acceso a esta habitación es restringido y requiere registro.

Transmisiones Seguras

Cuando se utilizan aplicaciones de DDI, por lo general, los datos circulan por tres partes importantes: el cliente y sus asociados o candidatos y DDI.  Cuando un usuario final accede a una aplicación de DDI, la información que proporcionan se envía a través de métodos cifrados seguros (HTTPS).  Los datos que se procesan en nuestros servidores de aplicación se envían a nuestros servidores de base de datos para almacenarlos. Los servidores de web o aplicaciones y las bases de datos se encuentran en distintas redes lógicas y físicas protegidas por barras de control de acceso.

DDI utiliza SSL/TLS 1.2 para acceder a los datos de las aplicaciones HTTPS seguras. Todas las aplicaciones de DDI están equipadas con la tecnología y normativa SSL y todas las cintas de copias de seguridad están cifradas a través del cifrado AES de 256 bits. Se utiliza el cifrado para las contraseñas almacenadas en las bases de datos de la aplicación.  Todos los archivos (independientemente de la confidencialidad) permanecen cifrados cuando se realiza una copia de ellos desde una computadora portátil de DDI hacia un dispositivo de almacenamiento externo.

Proceso de Desarrollo del Producto y Gestión de Código

Ciclo de Lanzamiento de Desarrollo

DDI emplea un modelo de desarrollo ágil.  Ágil es un enfoque repetitivo para el desarrollo de software y proporciona una capacidad muy veloz que permite que DDI responda rápidamente a las necesidades de nuestros clientes.  Planificamos un nuevo ciclo de liberación de código, por lo general, un ciclo semanal, lo que significa que aproximadamente cada semana DDI lanza nuevas características y actualizaciones.  El modelo de desarrollo ágil da reiteradas oportunidades para mejorar o agregar nuevas características. Fuera de este ciclo podemos hacer lanzamientos inmediatos ("de reparación"), como reglamentos vigentes.

Entornos de Desarrollo (Digital)

DDI utiliza distintos ejemplos de aplicación para probar códigos actualizados, así como distintos ejemplos para códigos de candidatos potenciales y para lanzar una versión de software de candidatos. Este enfoque protege los datos para que no se les controle ni se acceda a ellos por un código que se encuentre en desarrollo.  Todo código de desarrollo se ejecuta contra "bases de datos ficticias".

Revisión de Código

Los programadores trabajan individualmente y en equipos para desarrollar un código nuevo.  Al término de cada enfoque de ciclo de desarrollo, el código lo revisa en paralelo y lo prueba en un ambiente de control de calidad distinto del ambiente de producción.  Este período de prueba permite que se resuelvan la mayoría de los errores antes de que aparezcan en la producción.  El código también se inspecciona mediante la programación de debilidades conocidas a través del uso de la herramienta NTOSpider.

Administración del Código

Git se utiliza para gestionar el proceso de desarrollo de software y funciona como el almacén del código fuente.  La herramienta Git y los procesos relacionados garantizan que no se repitan los cambios debido a que diversos desarrolladores realizan cambios dentro del mismo módulo.  Los procesos de control de cambios existen en muchos niveles diferentes de desarrollo, control de calidad y ejecución, incluidos:

  • Solicitud de cambio de documentación y de titularidad que incluye la revisión, aprobación y documentación de todos los cambios realizados por el propietario de la aplicación.
  • Un proceso de aprobación cerrado para el código de promoción: de Desarrollo a Control a Calidad, de Control de Calidad a Preparación y de Preparación a Producción.
  • En varias fases del proceso de Control de Calidad y prueba (prueba de unidad seguida por la prueba del sistema, seguida de la prueba de aceptación de usuario). El desarrollo y las pruebas de unidades se realizan en diferentes sistemas de desarrollo por desarrolladores de software antes de ser liberados por sistema y pruebas de aceptación de usuarios en distintos sistemas de control de calidad.

Seguridad de la Infraestructura

Instalaciones de Alojamiento Seguro

DDI aloja a clientes que usan las aplicaciones a centros de datos certificados con SSAE18, SOC 2 tipo II, ISO/IEC 27001:2013, HITECH/HIPAA y PCI DSS 3.1.

La infraestructura del servidor de DDI se encuentra en una zona aislada especial de 8 in x 16 in.  El acceso a esta área se limita al personal de DDI responsable de la gestión de los servidores de aplicaciones y componentes de red. La instalación del centro de datos implementó sistemas para proporcionar seguridad y protección física a la planta. 

Dado que los servidores pueden ser objetivo de ataques, DDI garantiza que sus servidores están bien protegidos.  El proceso para mejorar la seguridad del servidor de DDI incluye las siguientes medidas.  [Por razones de seguridad, no podemos proporcionar todos los detalles de los controles de seguridad de nuestro servidor].

  • La desactivación o la eliminación de los servicios innecesarios, las aplicaciones y los protocolos de red.
  • La desactivación de las cuentas de usuario innecesarias y el cambio de nombre de las cuentas predeterminadas.
  • Requisitos de contraseña configurados para cumplir con la política de contraseñas de DDI.
  • La activación del registro en el servidor y registros de auditoría.
  • Instalación de programas antivirus/antiprogramas malignos con los archivos de definición actuales.
  • Configuración con parches de seguridad actuales, que primero se prueban en una plataforma de prueba.

Permanencia

Los sistemas Hot Sync paralelos o redundantes de las instalaciones del centro de datos proporcionan energía excesiva a través de los Sistemas de Alimentación Ininterrumpida (UPS) y generadores de copia de seguridad.  Existen conexiones a varias redes de empresas de telecomunicaciones para un acceso a Internet prescindible y la conectividad tiene una carga equilibrada y provista por más de un proveedor de servicios de Internet (ISP).

Recuperación ante Desastres

DDI tiene un detallado plan de Recuperación ante Desastres para restaurar el servicio de negocio en caso de un fallo del sistema a gran escala. Este plan se actualiza a medida que se hacen cambios en la infraestructura del sistema o la configuración de la comunidad web de producción.

Seguridad de la Red

Nuestra infraestructura de red se compone de dos pares de dispositivos HA, lo que proporciona equilibrio de carga y capacidades de aceleración que reciben solicitudes que llegan a través de los puertos TCP 80 o 443 (ubicados en el nivel SSL) hasta un sitio web la dirección IP externa.  DDI emplea ambos sistemas de detección basados en la red y alojamiento que son monitoreados y responden todo el día, durante todos los días.

Protección Contra Virus/Malware

Nuestro entorno de monitoreo se configuró para enviar alertas automáticamente al personal apropiado que se encuentran disponibles todo el día, todos los días.  Todos los sistemas adecuados (computadoras, servidores, sistemas de puertas, etc.) son protegidas por el antivirus Endpoint Protection de Microsoft y el software de "zero-day protection" actualizado y administrado centralmente. 

Retención y Eliminación de Datos

DDI emplea una extensa política de retención para la gestión y protección de datos personales.  Como una norma de las mejores prácticas, DDI no conserva datos personales más tiempo del necesario para cumplir sus condiciones contractuales u obligaciones legales.  Nuestra política (1) solicita que se borren o destruyan los datos personales o que se dejen en el anonimato después de que el período de retención expire, no exceda los 5 años; y (2) permite que los datos de formato despersonalizado se conserven indefinidamente para negocios y para fines de investigación.

Antes del 25 de mayo del 2018, los datos generarán una copia de seguridad progresivamente durante la noche para garantizar que todas las aplicaciones y datos del cliente se conservan y están disponibles para restaurarlos en caso de pérdida de datos o evento catastrófico.  Después de esa fecha, cada copia de seguridad nocturna solo se conservará durante un período de treinta (30) días.

Programas de Copia de Seguridad y Retención de Datos

  • Servidores de Archivos Físicos y Copias de Seguridad de la Base de Datos: (Retenidas en el disco durante 35 días en el disco).
  • Memoria Virtual de Producción: (Retenidas durante 35 días).
  • Cliente: Sitios de SharePoint (Retenidas en el disco durante 35 días).
  • Copia Mensual a la Cinta: (Retenidas en la cinta durante 1 año)
  • Copia Anual a la Cinta: (Retenidas en la cinta durante 5 años)

Respuesta a Problemas de Seguridad

DDI aplica un extenso plan de detección y respuesta a los problemas de seguridad e incluye detección de irrupciones, escaneados y otros métodos considerados eficaces y apropiados. Mientras que los problemas relacionados con la informática son más comunes, los problemas que no están relacionados con la informática se pueden notificar a través de la Asistencia telefónica de Problemas o comunicándose con el DPO o el Consejo Corporativo de DDI.  DDI informará de cualquier presunción o confirmación de problema de seguridad a los clientes afectados o potencialmente afectados y a las autoridades competentes en un lapso de 72 horas después de descubrir una falla de seguridad.  Una vez que se haya solucionado el problema y las correspondientes notificaciones realizadas, DDI seguirá adoptando medidas para mejorar los controles de privacidad para prevenir la recurrencia.

Compliance

Certificaciones

SSAE-18: DDI solo almacena datos en centros de datos que hayan recibido auditorías SAS 70 Tipo II anuales objetivas y positivas. Tenga en cuenta que SAS 70 se sustituyó por la Declaración de Normas para Compromisos de Certificación (SSAE) n. 18 y nuestros centros de datos cuentan con la certificación de esa norma.

ISO 27001: DDI se adhiere a estas normas de seguridad mundiales ampliamente aprobadas, desarrolladas por la Organización Internacional de Normalización y utiliza únicamente centros de datos que hayan demostrado su adhesión mediante evaluaciones periódicas y certificación anual.

SOC 1/SOC 2: DDI no posee certificación SOC 1 ni SOC 2.  Sin embargo, el proveedor de alojamiento de datos de DDI mantiene las certificaciones SOC 2 actuales. 

Información confidencial

En el momento de la contratación, todos los asociados de DDI tienen la obligación de firmar un acuerdo de confidencialidad que aborda específicamente los problemas y riesgos de tratar con información confidencial.  Cualquier asociado que se descubra que haya incumplido esta política está sujeto al despido inmediato o cualquier acción legal aplicable.

Comprobación de Antecedentes

DDI generalmente utiliza una agencia de terceros para llevar a cabo comprobaciones de antecedentes de los candidatos al empleo en la etapa de oferta del proceso de selección. El tipo de información que se puede recolectar por esta agencia incluye, entre otras, antecedentes relacionados con el último empleo de una persona, educación, carácter, finanzas, reputación, etc. Todas las comprobaciones de antecedentes se realizan en cumplimiento con las leyes estatales y federales aplicables.

Verificación del SSN

A todos los asociados de Estados Unidos se les verifican los permisos de trabajo y el número de Seguro Social y que su permiso esté en regla.

Normativa de Protección de Datos de la UE

DDI tiene su sede en Estados Unidos y presta servicios a clientes en todo el mundo, y ha utilizado mecanismos para garantizar que las transferencias de datos de la UE a EE. UU. proporcionan las protecciones legales requeridas por el Reglamento de Protección de Datos de la UE, incluido el Escudo de Privacidad (un reemplazo del Puerto Seguro), las cláusulas modelo de contrato y de consentimiento del usuario final de la UE.  La certificación de DDI bajo el programa de Escudo de Privacidad se puede encontrar en el sitio de Escudo de Privacidad: https://www.privacyshield.gov/

Cláusulas Modelo de la UE

La Cláusula Modelo de la UE es un apartado del contrato estándar entre los proveedores de servicios tales como DDI y sus clientes, diseñados para garantizar que los datos personales que salen del EEE se transfieran y cumplan con la ley de protección de datos de la UE y cumplan los requisitos de la Directiva de Protección de Datos de la Unión Europea 95/46/CE.

Reglamento General de Protección de Datos

El 25 de mayo del 2018, un nuevo mandato de privacidad llamado Reglamento General de Protección de Datos (RGPD) entra en vigencia.  El RGPD amplía los derechos de privacidad de las personas de la UE e impone nuevas obligaciones a los proveedores de servicio como DDI que almacenan y procesan datos personales de la UE.  DDI ve el RGPD como una oportunidad para profundizar internamente nuestro compromiso con la privacidad y las mejores prácticas de protección de datos, y con todos nuestros clientes.

Como con otros requisitos legales, el cumplimiento de las exigencias del RGPD requiere de una asociación entre DDI, sus procesadores secundarios y nuestros clientes. DDI cumplirá con el RGPD en la prestación de servicio a nuestros clientes y también estamos dedicados a ayudar a nuestros clientes a cumplir. Hemos analizado detenidamente los requisitos del RGPD y estamos trabajando para hacer mejoras en nuestros productos, contratos y documentación para apoyar a DDI y el cumplimiento del RGPD por parte de nuestros clientes.   

Proveedores

DDI utiliza el servicio de terceros como proveedores para el suministro de nuestros Servicios para usted como se describe en nuestros acuerdos.  Empleamos una rigurosa aplicación, investigación y proceso de auditoría para garantizar la alineación permanente con nuestros requisitos y parámetros de procesamiento de datos.  Todos los proveedores deben cumplir con el procesamiento de datos, la protección y los estándares de seguridad de DDI.

Para ver una lista de nuestros procesadores secundarios, consulte https://www.ddiworld.com/thirdpartyproviders

 

Talk to an Expert: GISP
* Significa información requerida
 *
 *
 *
 *
 *
 *
 *
 *
Consent to DDI Marketing *

Acepto que DDI recopile y procese mis datos personales en la prestación de servicios para mí, y para propósitos de investigación y marketing. Soy consciente de mis derechos y de la manera en que mis datos se utilizarán, tal y como se indica en la Política de Privacidad de Datos de DDI. Soy consciente de que tengo el derecho de revocar este consentimiento en cualquier momento.

Enter security code:
 Security code