Seguridad

Image Description

Security at GO4CLIC GROUP SL

Nuestra principal prioridad en GO4CLIC GROUP SL es garantizar la seguridad de los datos de nuestros clientes. Este apartado de seguridad ofrece una visión detallada de las prácticas implementadas para alcanzar ese objetivo.

Nuestra metodología abarca desde la identificación de riesgos hasta la implementación de medidas preventivas y correctivas en análisis de riesgos, medidas de seguridad y cumplimiento normativo.

El propósito de la Política de Seguridad es establecer el marco necesario para proteger los recursos de información frente a amenazas, internas o externas, deliberadas o accidentales, asegurando la confidencialidad, integridad y disponibilidad de la información.

Protección de Datos

GO4CLIC GROUP SL es GDPR Compliance.

Gestionamos la información proporcionada por las personas interesadas para administrar la relación comercial, desde la ejecución del contrato hasta el mantenimiento del contacto y el envío de comunicaciones comerciales por vía electrónica.

Los datos personales se conservarán mientras se mantenga la relación comercial y hasta cinco años después de la última transacción o finalización del servicio. No se tomarán decisiones automatizadas.

Para ejercer sus derechos de solicitar su datos y/o la eliminación de los mismos, remita un email a legales@go4clic.com. También puede dirigirse a la Agencia Española de Protección de Datos (www.aepd.es) para obtener información adicional o presentar una reclamación.

Certificaciones

Toda la infraestructura de go4clic está montada sobre los Data Center de AWS (Amazon Web Services) donde se establecen los más altos estándares de seguridad, monitoreo, tratamiento de datos, integridad de los datos, disponibilidad, redundancia, administración de cambios y retención de datos entre otros.

Gracias al modelo de responsabilidad compartida, go4clic se beneficia transitivamente de los controles, informes, estándares y certificaciones de la infraestructura subyacente. La siguiente lista detalla los controles, informes, estándares y certificaciones:

  • Service Organization Controls (SOC-1) / International Standard on Assurance Engagements (ISAE) 3402, SOC-2, SOC-3.
  • Federal Information Security Management Act (FISMA), Department of Defense Information Assurance Certification and Accreditation Process (DIACAP), and Federal Rial and Authorization Management Program (FedRAMP)
  • International Organization for Standardization (ISO) 9001, ISO/IEC 27001, and ISO 27018

IMPORTANTE: Estamos trabajando en la creación de certificaciones propias sobre la capa de nuestro software.

Para solicitud de información adicional remita un email a security@go4clic.com

Almacenamiento y Hosting de los datos

go4clic está hospedada sobre AWS (Amazon Web Services), pioneros en proveer servicios de Cloud Computing.

Específicamente, utilizamos RDS para el almacenamiento de nuestra base de datos principal, donde residen los datos personales de nuestros usuarios. Para cumplimentar con GDPR, la misma se encuentra dentro de la región UE (Unión Europea), específicamente en la zona de disponibilidad España (eu-south-2)

Back Ups

Para garantizar una recuperación ante desastres óptima y con la menor ventana de tiempo posible, go4clic realiza respaldos periódicos de la instancia de la base de datos principal completa a través de snapshots, con una retención de hasta 7 días.

Dichos respaldos se realizan en forma de MultiZona garantizando una recuperación de los datos ante desastres en una zona de disponibilidad específica. La zona alternativa utilizada es Paris (eu-west-3).

Encriptación

Toda la información enviada y recibida desde los usuarios finales está encriptada en tránsito usando un mecanismo de encriptación RSA / SHA-256.

Todos los endpoints que conforman la API de go4clic son accesibles a través de TLS/SSL únicamente.

A través de Let's Encrypt se logra la generación de certificados SSL dedicados para cada uno de los dominios customizados y los propios de *.go4clic.com.

Política de Brechas de Seguridad

En GO4CLIC GROUP SL, tomamos en serio las brechas de seguridad. Nuestro procedimiento riguroso incluye análisis detallado, notificación inmediata a las autoridades y afectados, y la implementación de medidas para mitigar el riesgo.

Upgrades

En go4clic nos esforzamos por mantener todos los servicios y dependencias actualizadas a la versión más reciente posible, logrando mantener al día los bugfixes y las correcciones de posibles vulnerabilidades que puedan existir en dichas dependencias.

Monitoreo

go4clic hace uso de mecanismos para registrar los eventos que suceden a partir de la interacción de nuestros usuarios sobre la aplicación.

  • Sistema de logging de corta temporalidad: nos permite detectar fallas circunstanciales y aleatorias.
  • CloudWatch: nos permite registrar todos los eventos que los recursos de nuestra infraestructura, lo que nos permite realizar un monitoreo activo detallado de los recursos de nuestra infraestructura, así como también configurar alertas de sobrecarga para realizar monitoreo pasivo.
  • Sentry: nos permite llevar un registro de las fallas inesperadas para poder actuar antes de forma inmediata. Adicionalmente nos permite hacer un seguimiento de cuán optimizadas están las consultas realizadas a la base de datos.

Seguridad Interna

Aplicamos medidas de seguridad interna, incluyendo recepción de newsletters de seguridad informática, formación regular para el personal y revisión de los controles de acceso, para garantizar tanto la integridad de nuestros sistemas y datos, como el acceso a las herramientas de terceros utilizadas para el trabajo diario.

Implementamos políticas de contraseña que nos permite definir un esquema de claves específico y reforzado, lo cual nos permite evitar el uso de herramientas de almacenamiento de claves, las cuales son objetivos de hackeo continuos.

Adicionalmente y para garantizar el acceso seguro a los servicios en la nube que utilizamos, hacemos uso de Two-Factor Authentication (2FA).

Acuerdo de Nivel de Servicio (SLA)

Soporte

go4clic cuenta con soporte 24/7 a través de Intercom para lograr un correcto y profesional seguimiento de las incidencias y consultas que realizan nuestros usuarios. Puede ver la política de privacidad de Intercom puede seguir el siguiente link.

Uptime

Gracias a nuestro monitoreo continuo, la alta disponibilidad y estabilidad de la infraestructura AWS subyacente, contamos con un promedio de tiempo operativo del 99.9%para todos nuestros servicios.

Adicionalmente realizamos un monitoreo redundante mediante la herramienta Uptime Robot y HetrixTools, lo cual nos permite enterarnos inmediatamente en caso de que algún servicio quede inactivo, y así poder tomar las acciones pertinentes lo antes posible reduciendo el downtime al mínimo.

Autenticación y Autorización

El acceso a los datos de nuestros clientes, está limitado solo a empleados autorizados,el cual es necesario para realizar el trabajo diario. Todos los datos servidos por go4clic están 100% protegidos por el uso del protocolo HTTPS.

Adicionalmente, la plataforma opera a través de diferentes niveles de permisos granulares. Un usuario propietario es el único autorizado para gestionar los datos de facturación de la suscripción a go4clic y establecer configuraciones de alto nivel como la creación y administración de academias. A su vez, dicho usuario puede dar acceso a usuarios como administradores de dichas academias, los cuales pueden realizar las mismas operaciones y estos podrán dar acceso granular a otros usuarios como mentores y participantes dentro de las formaciones deseadas.

Para cumplimentar con FUNDAE, los administradores incluso podrán dar permisos a usuarios inspectores de las formaciones (usuarios de solo lectura).

Para cualquier operación en la plataforma, el usuario debe estar autenticado. Para ello en primera medida, el usuario debe iniciar sesión, momento en el cual se le concede una llave de acceso (access token) que le permite acceder solo a los datos a los que tiene acceso.

Para cumplir con los estándares de seguridad en lo que respecta al resguardo de contraseñas, go4clic aplica un mecanismo de hashing como método para el almacenamiento seguro de contraseñas de los usuarios.

Para solicitar información adicional remita un email a security@go4clic.com

Confidencialidad

Todos los colaboradores de go4clic firman un contrato de confidencialidad al ingresar a la empresa.

La confidencialidad es fundamental en GO4CLIC GROUP SL. Nos comprometemos a salvaguardar la información de nuestros clientes.

Por eso, go4clic y el cliente se comprometen a mantener reservada y confidencial la existencia y el contenido de toda la documentación e información que se facilite, transmita o divulgue , y a no hacerla pública sin la previa autorización por escrito de la otra parte.

¿Qué considera go4clic Información Confidencial?

De forma enunciativa pero no limitativa, se entenderá como Información Confidencial la información referida a datos de clientes, su existencia, su estructura, planes de promoción y venta, códigos fuente y objeto de programas informáticos, sistemas, técnicas, inventos, procesos, patentes, marcas, diseños registrados, derechos de autor, know-how, nombres comerciales, datos técnicos y no técnicos, dibujos, bocetos, datos financieros, planes relativos a nuevos productos, datos relativos a clientes o potenciales clientes así como cualquier otra información utilizada en el ámbito empresarial de go4clic y del Cliente.

¿Cuánto durará el deber de confidencialidad?

La obligación de confidencialidad subsistirá incluso después de la resolución, por cualquier causa, de la relación contractual entre las partes sin que se genere ningún tipo de indemnización.

¿Qué pasaría si se rompieran las obligaciones de confidencialidad?

El incumplimiento de la obligación de confidencialidad asumida en este acuerdo o la devolución de la Información Confidencial establecida anteriormente, dará derecho a cualquiera de las partes a reclamar el importe íntegro de los daños y perjuicios que dicho incumplimiento hubiera generado.

Payment Card Industry Data Security Standards (PCI DSS)

Todos los pagos que se efectúan hacia go4clic son gestionados por Stripe.. Los detalles sobre su configuración de seguridad y el cumplimiento de PCI se pueden encontrar en la página de seguridad de Stripe.

GO4CLIC GROUP SL

Ejercicio derechos protección de datos

C/ Aragó 249, 08007 Barcelona