Seguridad y privacidad
Trust
Desde sus inicios, la protección de la seguridad y la privacidad de los datos de los clientes ha sido una prioridad absoluta para ThousandEyes. Nuestros clientes confían en nosotros para recopilar y almacenar información sobre el rendimiento de las redes y las aplicaciones que utilizan. En función del escenario de implementación y de los casos de uso específicos del cliente, esto podría incluir información de Internet que constituya conocimiento de dominio público o información de redes empresariales privadas. Por ello, tratamos todos los datos recogidos como altamente confidenciales y hemos implementado un sistema de gestión para garantizar su confidencialidad, integridad, disponibilidad y privacidad.
Comenzamos con una base de gestión sólida mediante la adopción de la ampliamente reconocida y respetada norma ISO/IEC 27001 para nuestro sistema de gestión de seguridad de la información. Nuestro sistema de gestión de la información sobre la privacidad se basa en la norma ISO 27701 y cuenta con su certificación.
Estos marcos forman, en su conjunto, un marco unificado de gestión de la seguridad para la privacidad (USPMF) de ThousandEyes que cuenta con el respaldo de políticas, normas, tecnologías y procesos estrictos. Mejoramos nuestro USPMF de manera continua con la implementación de controles organizativos y técnicos adicionales para garantizar que los datos del cliente estén siempre protegidos con las prácticas recomendadas actuales.
Como proveedor de servicios en la nube, ThousandEyes comparte la responsabilidad de la seguridad y la privacidad con sus clientes. Revise la siguiente información para comprender su función en la implementación de controles de seguridad y actividades operativas.
Programa de recompensas de búsqueda de errores
ThousandEyes se compromete a proporcionar sólidos niveles de garantía de seguridad a nuestros clientes, a nuestros partners y a la comunidad. El programa de recompensas de búsqueda de vulnerabilidades de ThousandEyes de Cisco forma parte de nuestra estrategia general de seguridad, y anima a los investigadores externos a colaborar con nuestro equipo de seguridad para ayudar a mantener segura nuestra plataforma.
Si cree que ha descubierto una vulnerabilidad en uno de los productos, servicios, sitios web u otra infraestructura de ThousandEyes, o para informar de un posible problema de abuso, envíe lo que haya encontrado a bugcrowd.com/thousandeyes-og. Tras recibir su consulta, Bugcrowd trabajará con el equipo de seguridad de ThousandEyes para evaluar su solicitud y responder a la misma. Pedimos su colaboración en cualquier divulgación relacionada con el problema y que trabaje de manera responsable con nosotros para proteger a nuestros clientes, a nuestros partners y a la comunidad.
Seguridad de la información
Organización de la seguridad de la información
La organización de la seguridad de la información en ThousandEyes está controlada por el director de seguridad de la información. Su equipo supervisa todos los aspectos de la protección de los datos: seguridad y privacidad empresarial, física y técnica. Esto también incluye la auditoría y el cumplimiento, además de la gestión general de riesgos.
Seguridad de Recursos Humanos
Creemos que la seguridad de la información comienza por las personas y que no basta con proteger solo los sistemas físicos. De ahí que invirtamos en la concienciación y formación en materia de seguridad de todos nuestros empleados, de modo que cuenten con los conocimientos necesarios para dar el apoyo necesario a nuestros sistemas de gestión de la seguridad y la privacidad desde el primer día.
Gestión de recursos y riesgos
Toda la información se clasifica en términos de confidencialidad en un esquema de clasificación de datos de tres niveles y precisamos que los controles de seguridad específicos se implementen en consecuencia. Las evaluaciones de riesgos deben realizarse en cada recurso de información crítica para verificar si los controles actuales cumplen con los criterios definidos. Toda la información del cliente se clasifica como confidencial de manera predeterminada y, como resultado, necesitará siempre el nivel más alto de protección.
Control de acceso
El acceso a la información se concede en función de la necesidad de conocerla y se controla mediante un proceso gestionado que aborda la autorización de nuevos accesos, la revocación oportuna del acceso cuando sea necesario y la revisión periódica de las listas de acceso a información crítica.
Criptografía
Todos los controles cifrados en ThousandEyes se ajustan a las restricciones y normativas legales internacionales y precisan procedimientos de gestión de claves sólidos.
Seguridad física y ambiental
Tanto el centro de datos como el espacio de oficina están equipados con sistemas de control de acceso y vigilancia mediante vídeo con seguridad ininterrumpida en las instalaciones. Para que ThousandEyes los acepte, los centros de datos deben cumplir los requisitos de nivel III.
Seguridad de las operaciones
Todas las redes, sistemas y aplicaciones están configuradas, implementadas y respaldadas de forma segura para garantizar que funcionen según lo previsto. Se implementa antimalware en todos los sistemas importantes orientados al cliente.
Seguridad de las comunicaciones
Todos los recursos de comunicación en ThousandEyes se utilizan de una manera que es coherente con nuestros principios éticos y comerciales y han implementado controles relevantes, como el uso de criptografía para la transmisión de datos confidenciales.
Adquisición, desarrollo y mantenimiento del sistema
Algunos ejemplos de nuestros controles son las pruebas de penetración y la revisión del código como pasos vitales en el proceso de aprobación. Además, nuestras metodologías de diseño e implementación del ciclo de vida de desarrollo de software seguro se mejoran continuamente para mantenerse al día con las prácticas recomendadas actuales y adelantarse a las últimas amenazas.
Servicios de terceros
Cuando terceros contratados actúan en nuestro nombre, les exigimos que cumplan las mismas normas rigurosas de seguridad y privacidad que cumplimos de forma interna. Esta diligencia debida se completa como parte de nuestro proceso de gestión de riesgo del proveedor, que comprende una revisión de seguridad completa de este tercero, además de sus productos u ofertas de servicios.
Monitorización de seguridad y gestión de incidentes
Monitorizamos nuestra red, sistemas y aplicaciones constantemente para detectar diferentes tipos de eventos. Por ello, no resulta sorprendente que nuestra propia solución de supervisión de la nube se supervise a sí misma y a otros componentes de nuestra infraestructura tecnológica. Cuando se registra un evento importante, entra en juego inmediatamente el plan de respuesta a incidentes.
Privacidad
La Declaración de Privacidad en línea de Cisco y el presente resumen son de aplicación a las páginas web de Cisco y de nuestras filiales vinculadas a esta Declaración.
Cisco respeta su información de carácter personal y se compromete con su protección. Nuestra Declaración de Privacidad refleja los principios y estándares actuales de gestión de la información de carácter personal: transparencia, equidad y responsabilidad. A continuación, se enumeran algunas de las principales características de la Declaración de privacidad en línea de Cisco. Tenga en cuenta que puede obtenerse información más detallada sobre cómo Cisco procesa la información de carácter personal en las hojas de datos de privacidad y en las descripciones de ofertas u otros avisos que se entregan antes o en el momento de la recopilación de los datos.
Información personal
Recopilamos información de carácter personal por diferentes motivos, como la gestión de su solicitud, el aprovisionamiento de los sitios web y las Soluciones y la disposición de sus funciones, y le proporcionamos una suscripción a nuestras newsletters, le enviamos comunicaciones empresariales y comerciales, personalizamos su experiencia o gestionamos las solicitudes de trabajo.
Le informaremos de la finalidad de la recopilación de información de datos de carácter personal cuando se recaben de usted y la mantendremos para cumplir las finalidades para las que se recopiló o como resulte necesario de acuerdo con la legislación aplicable o para fines legítimos.
Podremos combinar la información que recopilamos de usted con otra obtenida de otras fuentes para que nos ayude a que resulte exacta y completa en términos generales, así como para adecuar nuestro rendimiento y nuestras interacciones con usted.
Podremos también recopilar información relacionada con el uso que usted haga de nuestras páginas web y soluciones basadas en la red a través de diversas tecnologías, cookies incluidas.
Notificación y sus opciones de uso de datos
Utilizaremos su información de carácter personal para la finalidad para la que fue recabada y no se utilizará para un fin distinto sin antes solicitar su permiso o sin contar con una base jurídica para ello.
Solicitaremos su permiso antes de compartir su información de carácter personal con terceros para cualquier finalidad distinta de aquella para la que usted la proporcionó o del modo que establezca nuestra Declaración de privacidad en línea.
Para obtener más información sobre sus opciones sobre cómo Cisco puede procesar su información personal o sobre el uso de cookies u otras tecnologías web, consulte nuestra declaración de privacidad en línea completa.
Acceso a los datos e integridad
Para actualizar su información de carácter personal y las preferencias de comunicación, haga clic aquí o visite la página web del producto o servicio concretos.
Protección de los datos
Cisco se compromete con la protección de su información de carácter personal frente a un acceso, uso o divulgación no autorizada.
Cesión posterior
Dado que Cisco es una organización multinacional, podríamos ceder su información personal a Cisco en Estados Unidos, a cualquier filial de Cisco en el mundo o a terceros que actúen en nuestro nombre ubicados fuera del país donde se recopilan los datos, donde los estándares de protección de datos pueden ser distintos.
No cedemos su información de carácter personal a terceros a menos que estos se comprometan a dotar a dicha información de un nivel de protección como mínimo equivalente al nuestro.
Información importante
Nuestras políticas y prácticas en materia de protección de datos personales y privacidad están diseñadas para cumplir con las leyes vigentes en todo el mundo y para ganar y mantener su confianza en Cisco.
Cisco cuenta con la certificación del sistema de Normas de privacidad entre fronteras y del Reconocimiento de privacidad para encargados del tratamiento de APEC con respecto al tratamiento de datos de carácter personal y las transferencias hacia o desde las economías que forman parte de APEC. Para obtener más información sobre el alcance de nuestra participación o para enviar una consulta de privacidad a través de los programas nacionales de BBB, nuestro agente de responsabilidad, haga clic en el sello oficial que figura a continuación:
Las Normas corporativas vinculantes: Autoridad reguladora (BCR-C) de Cisco garantizan que las transferencias de datos de carácter personal realizadas por Cisco como responsable del tratamiento en todo el mundo de la información de carácter personal europea cuenten con las garantías adecuadas.
Cisco también está certificado y cumple los Escudos de privacidad UE-EE. UU. Y Suiza-EE. UU., según lo dispuesto por el Departamento de Comercio estadounidense respecto a la recopilación, el uso y el tratamiento de datos personales procedentes de los países de la UE/EEE, el Reino Unido y Suiza.
Si tiene preguntas, comentarios o dudas relacionados con esta Declaración de Privacidad o con el tratamiento de su información de carácter personal, haga clic aquí.
Si tiene preguntas referentes a nuestra política de privacidad o de uso de datos que no hayamos respondido de forma satisfactoria, póngase en contacto con nuestro proveedor externo de resolución de disputas con sede en EE. UU. (sin coste alguno).
Referencias
Para obtener más información acerca de nuestras prácticas de privacidad, obtenga la versión íntegra de la Declaración de Privacidad en línea de Cisco.
Fecha de la última actualización: 1 de diciembre de 2021
Cumplimiento
Hay una serie de leyes y regulaciones con las que cumplen ThousandEyes y nuestros empleados:
Hemos implementado un enfoque de dos pasos para el cumplimiento. En primer lugar, garantizamos que todos los recursos internos y externos están integrados con nuestras políticas y son compatibles con los procesos, tecnologías y normas subyacentes. En segundo lugar, a través de auditorías y evaluaciones de riesgos internos, hacemos pruebas regularmente para garantizar que todos los controles de seguridad se implementan adecuadamente y funcionan de manera eficaz.
Recurrimos a un tercero independiente para realizar la atestación de la sección 101 que produce un informe SOC2 Tipo II para el principio de seguridad que cubre un período de 12 meses. Asimismo, el sistema de gestión de la seguridad de la información que respalda nuestra aplicación de gestión del rendimiento de la red como servicio recibió los certificados ISO/IEC 27001:2013 e ISO/IEC 27018:2019 de un organismo de certificación independiente. Además, nuestro sistema de gestión de la información sobre la privacidad que respalda nuestra aplicación de gestión del rendimiento de la red como servicio ha recibido el certificado ISO/IEC 27701:2019 de un organismo de certificación independiente. Por último, un tercero independiente realiza una evaluación anual de los riesgos de la empresa en nuestros recursos de información críticos.
ThousandEyes es miembro corporativo de la Alianza por la seguridad de la nube, donde compartimos información y colaboramos con otras empresas líderes del sector para mantener el nivel más exigente de las prácticas recomendadas de seguridad. ThousandEyes es también miembro del Centro por la seguridad de Internet, una entidad innovadora sin ánimo de lucro que aprovecha el poder de una comunidad de TI global para proteger a organizaciones públicas y privadas frente a ciberamenazas.