Seguridad y privacidad
Confianza
Desde sus inicios, la protección de la seguridad y la privacidad de los datos de los clientes ha sido una prioridad absoluta para ThousandEyes. Nuestros clientes confían en nosotros para recopilar y almacenar información sobre el rendimiento de las redes y las aplicaciones que utilizan. En función del escenario de implementación y de los casos de uso específicos del cliente, esto podría incluir información de Internet que constituya conocimiento de dominio público o información de redes empresariales privadas. Por ello, tratamos todos los datos recogidos como altamente confidenciales y hemos implementado un sistema de gestión para garantizar su confidencialidad, integridad, disponibilidad y privacidad.
Comenzamos con una base de gestión sólida mediante la adopción de la ampliamente reconocida y respetada norma ISO/IEC 27001 para nuestro sistema de gestión de seguridad de la información. Nuestro sistema de gestión de la información sobre la privacidad se basa en la norma ISO 27701 y cuenta con su certificación.
Estos marcos forman, en su conjunto, un marco unificado de gestión de la seguridad para la privacidad (USPMF) de ThousandEyes que cuenta con el respaldo de políticas, normas, tecnologías y procesos estrictos. Mejoramos nuestro USPMF de manera continua con la implementación de controles organizativos y técnicos adicionales para garantizar que los datos del cliente estén siempre protegidos con las prácticas recomendadas actuales.
Como proveedor de servicios en la nube, ThousandEyes comparte la responsabilidad de la seguridad y la privacidad con sus clientes. Revise la siguiente información para comprender su función en la implementación de controles de seguridad y actividades operativas.
Programa de recompensas por errores
ThousandEyes se compromete a proporcionar altos niveles de seguridad para nuestros clientes, partners y la comunidad. El programa de recompensas por vulnerabilidades de Cisco ThousandEyes es parte de nuestra estrategia de seguridad global, que alienta a investigadores externos a colaborar con nuestro equipo de seguridad para ayudar a mantener nuestra plataforma segura.
Si cree que ha detectado una vulnerabilidad en uno de los productos, servicios, sitios web u otra infraestructura de ThousandEyes, o para informar un presunto problema de abuso, envíe su hallazgo a bugcrowd.com/thousandeyes-og. Al recibir su consulta, Bugcrowd trabajará con el equipo de seguridad de ThousandEyes para evaluar y responder a su solicitud. Le pedimos que coopere en cualquier divulgación relacionada con el problema y trabaje responsablemente con nosotros para proteger a nuestros clientes, partners y la comunidad.
Seguridad de la información
Organización de la seguridad de la información
La organización de la seguridad de la información en ThousandEyes está controlada por el director de seguridad de la información. Su equipo supervisa todos los aspectos de la protección de los datos: seguridad y privacidad empresarial, física y técnica. Esto también incluye la auditoría y el cumplimiento, además de la gestión general de riesgos.
Seguridad de Recursos Humanos
Creemos que la seguridad de la información comienza por las personas y que no basta con proteger solo los sistemas físicos. De ahí que invirtamos en la concientización y formación en materia de seguridad de todos nuestros empleados, de modo que cuenten con los conocimientos necesarios para dar el apoyo necesario a nuestros sistemas de gestión de la seguridad y la privacidad desde el primer día.
Gestión de recursos y riesgos
Toda la información se clasifica en términos de confidencialidad en un esquema de clasificación de datos de tres niveles y precisamos que los controles de seguridad específicos se implementen en consecuencia. Las evaluaciones de riesgos deben realizarse en cada recurso de información crítica para verificar si los controles actuales cumplen con los criterios definidos. Toda la información del cliente se clasifica como confidencial de manera predeterminada y, como resultado, necesitará siempre el nivel más alto de protección.
Control de acceso
El acceso a la información se concede en función de la necesidad de conocerla y se controla mediante un proceso gestionado que aborda la autorización de nuevos accesos, la revocación oportuna del acceso cuando sea necesario y la revisión periódica de las listas de acceso a información crítica.
Criptografía
Todos los controles cifrados en ThousandEyes se ajustan a las restricciones y normativas legales internacionales y precisan procedimientos de gestión de claves sólidos.
Seguridad física y ambiental
Tanto el centro de datos como el espacio de oficina están equipados con sistemas de control de acceso y vigilancia mediante video con seguridad ininterrumpida en las instalaciones. Para que ThousandEyes los acepte, los centros de datos deben cumplir los requisitos de nivel III.
Seguridad de las operaciones
Todas las redes, sistemas y aplicaciones están configuradas, implementadas y respaldadas de forma segura para garantizar que funcionen según lo previsto. Se implementa antimalware en todos los sistemas importantes orientados al cliente.
Seguridad de las comunicaciones
Todos los recursos de comunicación en ThousandEyes se utilizan de manera coherente con nuestros principios éticos y comerciales y han implementado controles relevantes, como el uso de criptografía para la transmisión de datos confidenciales.
Adquisición, desarrollo y mantenimiento del sistema
Algunos ejemplos de nuestros controles son las pruebas de penetración y la revisión del código como pasos vitales en el proceso de aprobación. Además, nuestras metodologías de diseño e implementación del ciclo de vida de desarrollo de software seguro se mejoran continuamente para mantenerse al día con las prácticas recomendadas actuales y adelantarse a las últimas amenazas.
Servicios de terceros
Cuando terceros contratados actúan en nuestro nombre, les exigimos que cumplan las mismas normas rigurosas de seguridad y privacidad que cumplimos de forma interna. Esta diligencia debida se completa como parte de nuestro proceso de gestión de riesgo del proveedor, que comprende una revisión de seguridad completa de este tercero, además de sus productos u ofertas de servicios.
Monitoreo de seguridad y gestión de incidentes
Monitoreo nuestra red, sistemas y aplicaciones constantemente para detectar diferentes tipos de eventos. Por ello, no resulta sorprendente que nuestra propia solución de supervisión de la nube se supervise a sí misma y a otros componentes de nuestra infraestructura tecnológica. Cuando se registra un evento importante, entra en juego inmediatamente el plan de respuesta a incidentes.
Privacidad
La Declaración de privacidad en línea de Cisco y este resumen se aplican a todos los sitios web de Cisco y a los sitios web de nuestras filiales que posean enlaces a la Declaración.
Cisco respeta y se compromete a proteger sus datos personales. Nuestra Declaración de privacidad refleja los principios y estándares globales actuales sobre el manejo de los datos personales: transparencia, equidad y responsabilidad. A continuación, se mencionan algunos de los aspectos destacados de la Declaración de privacidad en línea de Cisco. Tenga en cuenta que puede encontrar información más específica sobre cómo Cisco procesa los datos personales en las divulgaciones de ofertas, las descripciones de ofertas u otras notificaciones proporcionadas antes o al momento de la recopilación de datos.
Datos personales
Recopilamos datos personales por diversos motivos, como por ejemplo, para procesar sus pedidos, aprovisionar los sitios web y soluciones y habilitar su funcionalidad, ofrecerle una suscripción a un boletín informativo, enviar comunicaciones comerciales y de marketing, personalizar su experiencia, o gestionar postulaciones laborales.
Lo informaremos sobre la finalidad de la recopilación de datos personales al momento de la recopilación y los guardaremos para cumplir con la finalidad para la cual fueron recopilados, o bien, conforme lo exijan las leyes aplicables o para fines legítimos.
Es posible que combinemos la información que recopilemos de usted con información que obtengamos de otras fuentes a fin de que esto nos sirva de ayuda para mejorar su exactitud y compleción en general y también para mejorar y personalizar nuestras interacciones y rendimiento para con usted.
También es posible que recopilemos información sobre el uso que usted hace de nuestros sitios web y nuestras soluciones basadas en la web por medio de diversas tecnologías, como las cookies.
Notificación y sus opciones respecto del uso de los datos
Utilizaremos sus datos personales para el fin por el cual se recopilaron y no los utilizaremos para ningún otro fin sin primero pedirle permiso o sin disponer de una base legal para su uso.
También le pediremos permiso antes de compartir sus datos personales con terceros para cualquier otro fin que no sea el motivo para el cual se proporcionaron o conforme se describa de algún otro modo en nuestra Declaración de privacidad en línea.
Para obtener más información sobre sus elecciones respecto de cómo Cisco puede procesar sus datos personales o sobre el uso de cookies u otras tecnologías web, consulte nuestra Declaración de privacidad en línea completa.
Acceso e integridad de los datos
Para actualizar sus datos personales y sus preferencias de comunicación, haga clic aquí o visite el sitio web del producto o servicio específico.
Seguridad de los datos
Hemos asumido un compromiso para proteger sus datos personales del uso o la divulgación no autorizados.
Transferencia a terceros
En carácter de empresa global, podemos transferir sus datos personales a entidades de Cisco en los Estados Unidos, a cualquier subsidiaria de Cisco en cualquier parte del mundo, o a terceros autorizados que actúen en nuestro nombre y que se encuentren ubicados fuera del país en el cual se recopilan los datos. Estas transferencias pueden ocurrir a jurisdicciones donde los estándares de protección de datos difieren de los de su país. No transferimos sus datos personales a terceros, a menos que se comprometan a ofrecer, al menos, el mismo nivel de protección que aplicamos a sus datos.
Para obtener información más específica sobre las prácticas de manejo de datos y los controles de seguridad de Cisco ThousandEyes, consulte nuestra Divulgación de la oferta. Tenga en cuenta que, dentro de la instancia de ThousandEyes para el gobierno, todos los datos personales residen en el territorio continental de los Estados Unidos, salvo que el cliente indique lo contrario.
Información importante
Nuestras prácticas y políticas de privacidad y protección de datos personales están diseñadas para cumplir con las leyes vigentes en todo el mundo y para ganar y mantener su confianza en Cisco.
Cisco cuenta con la certificación del sistema de Reglas de Privacidad Transfronterizas de la APEC y el Reconocimiento de Privacidad para Procesadores con respecto al manejo de datos personales y las transferencias hacia o desde las economías miembro de la APEC. Para obtener más información sobre el alcance de nuestra participación, o bien, para enviar una consulta de privacidad a través de los Programas nacionales de BBB, nuestro agente de rendición de cuentas, haga clic en el sello oficial a continuación:
Las Normas corporativas vinculantes (Autoridad reguladora (BCR-C)) de Cisco garantizan que las transferencias de datos personales realizadas por Cisco como responsable del tratamiento de la información personal europea en todo el mundo cuenten con las garantías adecuadas.
Cisco también está certificado y cumple los Escudos de privacidad UE-EE. UU. Y Suiza-EE. UU., según lo dispuesto por el Departamento de Comercio estadounidense respecto a la recopilación, el uso y el tratamiento de datos personales procedentes de los países de la UE/EEE, el Reino Unido y Suiza.
Si tiene preguntas, comentarios o dudas relacionados con esta Declaración de Privacidad o con el tratamiento de su información personal, haga clic aquí.
Si tiene preguntas referentes a nuestra política de privacidad o de uso de datos que no hayamos respondido de forma satisfactoria, póngase en contacto con nuestro proveedor externo de resolución de disputas con sede en EE. UU. (sin costo alguno).
Referencias
Para obtener más información acerca de nuestras prácticas de privacidad, obtenga la versión íntegra de la Declaración de Privacidad en línea de Cisco.
Fecha de la última actualización: 1 de diciembre de 2021
Cumplimiento
Hay una serie de leyes y regulaciones con las que cumplen ThousandEyes y nuestros empleados:
Hemos implementado un enfoque de dos pasos para el cumplimiento. En primer lugar, garantizamos que todos los recursos internos y externos están integrados con nuestras políticas y son compatibles con los procesos, las tecnologías y las normas subyacentes. En segundo lugar, a través de auditorías y evaluaciones de riesgos internos, hacemos pruebas regularmente para garantizar que todos los controles de seguridad se implementan adecuadamente y funcionan de manera eficaz.
Recurrimos a un tercero independiente para realizar la atestación de la sección 101 que produce un informe SOC2 Tipo II para el principio de seguridad que cubre un período de 12 meses. Asimismo, el sistema de gestión de la seguridad de la información que respalda nuestra aplicación de gestión del rendimiento de la red como servicio recibió los certificados ISO/IEC 27001:2013 e ISO/IEC 27018:2019 de un organismo de certificación independiente. Además, nuestro sistema de gestión de la información sobre la privacidad que respalda nuestra aplicación de gestión del rendimiento de la red como servicio ha recibido el certificado ISO/IEC 27701:2019 de un organismo de certificación independiente. Por último, un tercero independiente realiza una evaluación anual de los riesgos de la empresa en nuestros recursos de información críticos.
ThousandEyes es miembro corporativo de la Alianza por la seguridad de la nube, donde compartimos información y colaboramos con otras empresas líderes del sector para mantener el nivel más exigente de las prácticas recomendadas de seguridad. ThousandEyes es también miembro del Centro por la seguridad de Internet, una entidad innovadora sin fines de lucro que aprovecha el poder de una comunidad de TI global para proteger a organizaciones públicas y privadas frente a ciberamenazas.
Publicaciones de blog destacadas
Desmitificación de las certificaciones de privacidad y seguridad de ThousandEyes
