Seguridad

Medidas Técnicas y Organizacionales.

Extu ha implementado y mantendrá medidas técnicas y organizativas adecuadas, controles internos y prácticas de seguridad de la información que están diseñadas para salvaguardar los datos procesados por Extu en virtud del Acuerdo, contra pérdida, destrucción o alteración accidental; divulgación o acceso no autorizado; o destrucción ilegal de la siguiente manera:

Evaluación, Capacitación y Seguridad de Empleados

1. Personal. Extu toma medidas razonables para garantizar que tu personal tenga las habilidades, experiencia y capacitación adecuadas en el cuidado y manejo de Información Personal al brindar los Servicios.
2. Verificación de antecedentes. Extu lleva a cabo investigaciones de antecedentes razonables y apropiadas de todo el personal de acuerdo con las leyes y regulaciones aplicables.
3. Capacitación . El programa de capacitación de cumplimiento de Extu incluye el requisito de que los empleados y contratistas completen una capacitación sobre protección de datos al unirse a la organización, así como una capacitación anual obligatoria sobre protección de datos y privacidad. Esto incluye aprobar una evaluación anual. La capacitación sobre protección de datos incluye temas como concienciación en materia de seguridad, gestión de incidentes de datos y también puede incluir materiales específicos para ciertas funciones laborales.
4. Confidencialidad. Extu garantiza que tus empleados están obligados a mantener y proteger la confidencialidad de cualquier Información Personal que manejen en conformidad con este Acuerdo.

Seguridad Física y Ambiental

1. Centros de datos. Extu utiliza centros de datos para gestionar la seguridad física con acceso vigilado las 24 horas, los 7 días de la semana y escáneres biométricos. Nuestros proveedores de centros de datos cumplen con los requisitos de cumplimiento SOC 2.
2. Controles físicos. Extu ha adoptado una política de escritorio clara que requiere que ninguna Información Personal quede desatendida y requiere que el personal bloquee la pantalla de su computadora cuando esté lejos de los escritorios. Todos los medios impresos que contienen Información Personal se destruyen de forma segura (por ejemplo, mediante incineración o trituración) de acuerdo con nuestra política de retención. Toda la Información Personal contenida en hardware y medios intercambiables debe destruirse de forma segura antes de desechar un dispositivo antiguo. Extu garantiza a través de una capacitación regular, que el personal no copie ni transfiera Información Personal a ningún disco duro de PC, computadora portátil, dispositivo portátil, medios intercambiables u otra tecnología.
3. Subprocesadores. Extu ha establecido un programa de cumplimiento de terceros que incorpora seguridad en la evaluación de un proveedor o subprocesador, además de garantizar la confidencialidad, integridad y disponibilidad de los datos. Extu mantiene relaciones contractuales con proveedores para proporcionar los Servicios en conformidad con un acuerdo de protección de datos acordado.

Seguridad Técnica

1. Control de acceso. Extu mantiene una política formal de control de acceso y emplea un sistema de gestión de acceso centralizado para controlar el acceso de empleados y contratistas a los sistemas. El acceso se proporciona en base a la segregación de funciones y el principio del menor privilegio. El control de acceso incluye el uso de un nombre de usuario y una contraseña compleja y autenticación multifactor. Extu ajusta los derechos de acceso del personal siempre que éste asuma responsabilidades diferentes y revoca todo acceso en caso de terminación del empleo o contrato.
2. Transmisión y cifrado de datos. Extu toma todas las medidas razonables para garantizar que toda la información personal (almacenada en cualquier forma y medio, ya sea tangible o intangible) que podría causar daño o perjuicio a un interesado si se pierde, es robada o accede a ella una persona no autorizada, esté cifrada, especialmente cuando está en tránsito entre sistemas. Esto incluye implementar prácticas de cifrado estándar de la industria en la transmisión de datos personales (como Transport Layer Security) y cifrar datos personales en reposo y en tránsito.
3. Protección de la seguridad de los datos. Se han implementado medidas de seguridad de datos apropiadas, que incluyen (sin limitación): software antivirus y de malware instalado en los sistemas de información, se aplican los últimos parches y actualizaciones de seguridad para el software utilizado, la protección de la red se proporciona mediante un cortafuegos con sistemas de detección de intrusos implementados. y registros para sistemas críticos.
4. Revisión de código. Extu mantiene un ciclo de vida de desarrollo de software formal que incluye prácticas de codificación de seguridad, incluidas revisiones de código y prácticas de gestión de cambios de desarrollo de productos e ingeniería.
5. Conservación de datos. Extu mantiene una política de retención y eliminación de datos.

Cumplimiento de SOC II y Certificación PCI DSS.

El proveedor de procesamiento de tarjetas de crédito de Extu utiliza medidas de seguridad para proteger tu información tanto durante la transacción como después de completarla. Nuestro proveedor está certificado como conforme con las iniciativas de seguridad de las asociaciones de tarjetas. La integración de nuestros sistemas de gestión de incentivos con el proveedor cumple con PCI DSS (según SAQ A).

También realizamos auditorías anuales SOC II Tipo 2 en nuestros sistemas de gestión de incentivos. Proporcionamos nuestro Informe SOC II a pedido.

Respuesta a incidentes y notificación de infracciones

1. Recuperación ante desastres. Extu ha tomado medidas para garantizar que los Servicios puedan continuar prestándose en caso de que un desastre interrumpa el modo normal de operación. Se han identificado sistemas y servicios críticos y se ha establecido un plan de recuperación ante desastres. Extu realiza copias de seguridad periódicas, lo que garantiza que los sistemas críticos puedan restaurarse con una pérdida mínima de datos.
2. Respuesta a incidentes. Extu ha establecido procedimientos de respuesta a incidentes, lo que permite manejarlos de manera oportuna y controlada y de acuerdo con las leyes y obligaciones aplicables.