Compromiso de One Identity con el cumplimiento

Un informe SOC 2 Tipo 2 es un informe de controles internos que documenta cómo una empresa protege los datos de sus clientes y lo bien que funcionan esos controles. Estos informes son emitidos por auditores externos independientes y abarcam los principios de Seguridad, Disponibilidad, Confidencialidad y Privacidad.

¿Cuál es el objetivo principal de esta iniciativa?

Ofrece una evaluación independiente del entorno de control de seguridad y privacidad de One Identity. La evaluación incluye una descripción de los controles, las pruebas realizadas para evaluarlos, los resultados de dichas pruebas y una opinión global sobre el diseño y la eficacia operativa de los mismos.

¿Cuál es el alcance?

El reporte SOC 2 de tipo 2 de One Identity cubre los principios y criterios de servicios de confianza de la AICPA en materia de seguridad, disponibilidad, confidencialidad y privacidad. El reporte también incluye un mapeo de los controles probados con la norma ISO/IEC 27001:2013 Anexo A / ISO/IEC 27002:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2014, los requisitos de seguridad de la HIPAA y las directrices de examen de la FFIEC para la seguridad de la información de la GLBA.

¿Con qué frecuencia se lo evalúa/audita?

Las auditorías se realizan anualmente.

¿Quién es el público principal?

Clientes y terceros relevantes con intereses o necesidades comerciales.

La norma ISO 27018:2019 proporciona orientación en forma de objetivos, controles y directrices. One Identity adaptó sus controles de privacidad existentes para que cumplieran esta norma con el fin de aumentar su programa de privacidad. Estos controles se evaluan como parte del reporte periódico SOC 2 Tipo 2 y un organismo independiente ha auditado nuestro cumplimiento de esta norma como parte de nuestras auditorías anuales del certificado ISO 27001:2013 .

¿Cuál es el objetivo principal de esta iniciativa?

La norma ISO 27018:2019 proporciona orientación en forma de objetivos, controles y directrices. La alineación con esta norma proporciona una garantía adicional de la adecuación del Programa de Privacidad de One Identity.

¿Cuál es el alcance?

El programa de privacidad de One Identity y su adecuación a los objetivos, controles y directrices recomendados.

¿Con qué frecuencia se lo evalúa/audita?

Los controles de la norma ISO 27018:2019 se evalúan como parte de las auditorías periódicas del reporte SOC 2 Tipo 2 y de nuestras auditorías de certificación ISO 27001:2013.

¿Quién es el público principal?

Clientes y terceros relevantes con intereses o necesidades comerciales.

La norma ISO 27017:2015 ofrece orientación tanto a los proveedores de servicios en la nube como a los consumidores de estos servicios en forma de objetivos, controles y directrices. One Identity adaptó sus controles de seguridad existentes para que cumplieran esta norma con el fin de aumentar su programa de seguridad. Estos controles se evalúan como parte del reporte periódico SOC 2 Tipo 2 y un organismo independiente ha auditado nuestro cumplimiento de esta norma como parte de nuestras auditorías anuales del certificado ISO 27001:2013.

¿Cuál es el objetivo principal de esta iniciativa?

La norma ISO 27017:2015 ofrece orientación tanto a los proveedores de servicios en la nube como a los consumidores de estos servicios en forma de objetivos, controles y directrices. La alineación con esta norma proporciona una garantía adicional de la idoneidad del Programa de Seguridad de One Identity.

¿Cuál es el alcance?

El programa de seguridad de One Identity y su adecuación a los objetivos, controles y directrices recomendados.

¿Con qué frecuencia se lo evalúa/audita?

Los controles de la norma ISO 27017:2015 se evalúan como parte de las auditorías periódicas del reporte SOC 2 Tipo 2 y de nuestras auditorías de certificación ISO 27001:2013.

¿Quién es el público principal?

Clientes y terceros relevantes con intereses o necesidades comerciales.

La norma ISO 27001:2013 ayuda a las organizaciones a mantener seguros los activos de información. El uso de esta familia de normas ayuda a One Identity a gestionar la seguridad de activos como la información financiera, la propiedad intelectual, los datos de los empleados y la información que nos confían terceros. Un organismo independiente ha auditado nuestro cumplimiento de esta norma y ha emitido nuestro certificado ISO 27001:2013, cuyo mantenimiento requiere auditorías anuales.

¿Cuál es el objetivo principal de esta iniciativa?

Proporciona una evaluación y certificación independientes del Sistema de Gestión de la Seguridad de la Información (SGSI) de One Identity. El SGSI incluye todos los aspectos de seguridad y privacidad que afectan tanto a One Identity como a sus clientes.

¿Cuál es el alcance?

El alcance de la certificación ISO 27001:2013 es el SGSI que respalda la gestión de la infraestructura y los servicios utilizados para dar soporte a la solución de gestión de acceso e identidad empresarial de One Identity.

¿Con qué frecuencia se lo evalúa/audita?

Cada tres años se realiza una auditoría de certificación exhaustiva y, 12 y 24 meses después de cada auditoría exhaustiva, se llevan a cabo auditorías de vigilancia. Además, One Identity realiza una auditoría interna anual utilizando un tercero independiente como parte de los requisitos de la norma ISO 27001:2013.

¿Quién es el público principal?

Clientes y terceros relevantes con intereses o necesidades comerciales.

Skyhigh Networks realiza evaluaciones objetivas y exhaustivas de la preparación empresarial de los servicios en la nube basándose en un conjunto detallado de criterios desarrollados en conjunto con la Cloud Security Alliance (CSA). Los servicios designados como Skyhigh Enterprise-Ready son los que reciben las calificaciones CloudTrust™ más altas, que satisfacen plenamente los requisitos más estrictos de protección de datos, verificación de identidad, seguridad de servicios, prácticas empresariales y protección legal.

¿Cuál es el objetivo principal de esta iniciativa?

Proporcionar una evaluación objetiva de las capacidades de seguridad de OneLogin basada en criterios desarrollados en conjunto con la Cloud Security Alliance.

¿Cuál es el alcance?

Los controles de seguridad de OneLogin se evaluaron en función de un conjunto específico de criterios desarrollados por Skyhigh Networks junto con la Cloud Security Alliance.

¿Con qué frecuencia se lo evalúa/audita?

Skyhigh Network realiza una evaluación de forma periódica cada vez que OneLogin realiza cambios.

¿Quién es el público principal?

Clientes y terceros relevantes con intereses o necesidades comerciales.

One Identity reconoce el RGPD como una evolución importante y necesaria de la legislación sobre protección de datos en toda la UE. El programa de privacidad y seguridad de One Identity cumple y supera los estándares más exigentes del sector, incluido el cumplimiento del GDPR.

El nuevo Reglamento General de Protección de Datos ("RGPD"), que sustituye a la Directiva de Protección de Datos de la Comisión Europea, entra en vigor el 25 de mayo de 2018. Su objetivo es unificar la normativa de la Unión Europea (UE) sobre privacidad y proteger mejor los datos personales de los ciudadanos de la UE tanto dentro como fuera de ella. Como procesador y controlador de datos, One Identity ha verificado que cumplimos todos los requisitos del GDPR y seguiremos manteniendo activamente el cumplimiento del GDPR. También proporcionamos recursos y documentación para ayudar a nuestros clientes en su papel de responsables del tratamiento de datos.

En One Identity es nuestra máxima prioridad garantizar que todos los datos de los clientes se traten de forma segura y responsable. A continuación presentamos una visión general de qué esperar del GDPR, cómo cumplimos esta nueva normativa y cómo capacitamos a los clientes para cumplirla.

¿Cuál es la finalidad del RGPD?

El GDPR es una ley integral de protección de datos que cumple dos propósitos:

1. Proteger los datos personales: El GRPR devuelve el control sobre los datos personales a los residentes en la UE y prohíbe a las organizaciones explotar esos datos.

2. Directrices para las organizaciones: El GDPR hace que la ley de protección de datos sea idéntica en todo el mercado único. Proporciona a las empresas directrices legales más sencillas, que los organismos gubernamentales pueden hacer cumplir con mayor facilidad.

¿A quién se aplica el GDPR?

El GDPR se aplica a cualquier organización que opere en la UE, así como a organizaciones que ofrezcan bienes o servicios a clientes o empresas de la UE. Esto amplía el ámbito de protección de los residentes en la UE para mejorar el control de la privacidad.

¿Cómo me afectará el GDPR?

¡Felicidades! Si vive en la UE está protegido por el GDPR. La Unión Europea está tomando medidas para garantizar que sus datos se utilicen de forma segura y adecuada.

Si su organización presta servicios dentro de la UE, tendrá que cumplir con el GDPR. Esto cambiará de diversas maneras en la forma de almacenar, procesar y utilizar los datos de los usuarios. Consulte este resumen de los principales cambios que el GDPR introdujo, ya que sustituye a la Directiva de Protección de Datos de la Comisión Europea.

Derecho de acceso y portabilidad: Los usuarios pueden solicitar confirmación sobre si se están tratando sus datos personales, dónde y con qué finalidad. Además, la empresa responsable de los datos debe proporcionar una copia de los datos personales, sin costo, en formato electrónico.

Obligación de notificarlas violaciones : Las violaciones que puedan "suponer un riesgo para los derechos y libertades de las personas" se deben notificar en un plazo de 72 horas a partir del momento en que se tenga conocimiento de ellas.

Privacidad desde el diseño: Las empresas deben tener en cuenta la privacidad de los datos durante las fases de diseño de todos los proyectos, junto con el ciclo de vida del proceso de datos pertinente. Las empresas también deben tener en cuenta la privacidad de los datos desde las fases de diseño de todos los proyectos, así como a lo largo de todo el ciclo de vida del proceso de datos pertinente.

Derecho al olvido: Las empresas deben permitir a los usuarios borrar sus datos personales, dejar de difundirlos y, potencialmente, hacer que terceros detengan el tratamiento de los mismos.

Esta lista no es exhaustiva. Si no se cumplen alguno de estos requisitos, las multas pueden alcanzar hasta el 4% de su volumen de negocios anual de crecimiento, o 20 millones de euros.

¿Qué medidas está tomando One Identity para cumplir con el GDPR?

One Identity es una organización global que procesa y controla datos de todo el mundo, incluida la UE. Nuestras certificaciones existentes y nuestro compromiso de larga data con los marcos de privacidad nos preparan para el RGPD de muchas maneras.

• Para cumplir los requisitos del RGPD, las organizaciones deben articular los flujos de datos y demostrar cómo se controla y mantiene la privacidad. Nuestro enfoque de "página en blanco" para rediseñar nuestros flujos de datos y elaborar diagramas de mapeo de datos muy detallados nos permite alcanzar este objetivo.

• Actualización del acuerdo estándar de gestión y del acuerdo de procesamiento de datos: Las organizaciones también deben actualizar su lenguaje contractual para reflejar la responsabilidad adicional exigida por el GDPR. Con este fin, One Identity utiliza el lenguaje de notificación de violación de datos, recurre a subcontratistas y comunica las responsabilidades a nuestros propios proveedores de procesamiento de datos.

• Responsable de Protección de Datos: One Identity utiliza un consultor externo independiente con sede en la UE para que actúe como nuestro DPO.

¿Cómo ayuda One Identity a sus clientes a cumplir la normativa?

One Identity se dedica a capacitar a los clientes con los recursos que necesitan para cumplir con el GDPR. El proceso es el siguiente:

Derecho de acceso y portabilidad

• Los administradores de IT pueden encontrar fácilmente un usuario en el sistema e imprimir su información almacenada en cualquiera de los directorios de usuarios.
• Los privilegios de usuario y las asignaciones de funciones en One Identity indican dónde se utilizan los metadatos del usuario (es decir, todas las aplicaciones a las que tiene acceso)

Requisito de notificación de infracciones

• El servicio de transmisión de eventos de One Identity puede ayudar a identificar intentos de violación mucho más rápido cuando se correlaciona con otros eventos de seguridad de la empresa.
• Tras la identificación de una posible infracción, los administradores pueden utilizar el panel de eventos y la herramienta de informes de One Identity para investigar más a fondo.

Derecho al olvido

• One Identity facilita la desactivación automática de usuarios desde otros sistemas y aplicaciones externas.
• Los administradores pueden eliminar usuarios de forma inmediata para cumplir los requisitos de privacidad y seguridad de la empresa.
• Los administradores también pueden auditar manualmente las aplicaciones provisionadas.

Privacidad desde el diseño: One Identity es un socio de confianza. La privacidad
desde el diseño es un requisito especialmente difícil, pero como proveedores estamos bien preparados para ello.

• El servicio One Identity siempre ha manejado información que debe protegerse, ya sea debido a la normativa sobre privacidad, a la regulación del sector de las tarjetas de crédito, a su designación como secretos compartidos o a varios otros requisitos de protección de datos.
• One Identity realiza evaluaciones del impacto sobre la privacidad que se realizan de forma periódica y como parte del proceso de diseño de nuevas funciones.

Privacidad desde el diseño: Una mejor arquitectura con One IdentityEspecialmente
si usted es arquitecto en IT o ingeniería, es posible que esté pensando no sólo en el cumplimiento de sus terceros, sino en los desafíos de cumplimiento en sus propios sistemas. Considere las ventajas de crear sus integraciones sobre la plataforma de One Identity.

Muchos de los problemas de cumplimiento son el resultado de arquitecturas antiguas que permiten un control limitado sobre cómo se almacenan, gestionan y procesan los datos. Por ejemplo, era ser muy habitual que las aplicaciones heredadas accedieran de forma directa al directorio corporativo. Esto significaba que normalmente tenían acceso a toda la información del usuario con pocas restricciones sobre lo que modificaban, almacenaban en caché o guardaban.

Hemos avanzado mucho desde entonces.

Para entender cómo, empecemos por lo esencial. El núcleo de la plataforma de identidad de One Identity son los protocolos modernos, incluidos SAML, OpenID Connect y SCIM. Estos protocolos modernos utilizan tokens seguros, afirmaciones de seguridad y aprovisionamiento automatizado.

• Tokens seguros: El usuario nunca inicia sesión en una aplicación directamente. En su lugar, el usuario siempre inicia sesión de forma segura utilizando un portal de inicio de sesión único (SSO). Cualquier aplicación de confianza puede recibir un token seguro que representa al usuario.
• Afirmaciones de seguridad: La información de identidad (por ejemplo, nombre de usuario, ID de empleado) está firmada digitalmente por una parte de confianza, concretamente un proveedor de identidad.
• Aprovisionamiento/desactivación automatizados: Cuando se concede acceso a un usuario a una aplicación, sus metadatos relevantes se transfieren a la aplicación. Del mismo modo, cuando se revoca el acceso de un usuario, sus metadatos relevantes se eliminan de la aplicación.

La plataforma de identidad de One Identity le permite aprovechar los protocolos modernos para prácticamente cualquier nube pública o aplicación privada/personalizada.

Ventajas:

• Las aplicaciones no autentican directamente a los usuarios, lo que se traduce en una mayor seguridad y privacidad.
• Las aplicaciones no tienen acceso directo al directorio corporativo para leer/escribir a toda la base de usuarios.
• Las aplicaciones sólo obtienen los metadatos de usuario que necesitan, sólo para los usuarios con acceso a la aplicación, e incluso el acceso de los usuarios puede ser anónimo.
• Las aplicaciones pueden obtener información sobre roles/privilegios sin tener acceso directo a la información del usuario.

Puede obtener más información sobre cómo adoptamos el GDPR revisando nuestra política de privacidad.

Si tiene alguna pregunta o necesita más información, envíe un correo electrónico a privacy@onelogin.com.

Las Cláusulas Contractuales Tipo de la UE están diseñadas para facilitar las transferencias de datos personales desde el Espacio Económico Europeo (EEE) a otros países, proporcionando al mismo tiempo garantías adecuadas para la protección de los datos personales. Estas cláusulas forman parte de nuestro Anexo de Tratamiento de Datos y ofrecen un medio alternativo para cumplir los requisitos de adecuación, por lo que son una alternativa al Marco del Escudo de Privacidad de EE.UU. o a las Normas Corporativas Vinculantes.

¿Cuál es el objetivo principal de esta iniciativa?

Proporcionar un mecanismo para que los clientes del EEE, que se consideran los responsables del tratamiento de datos, trabajen con One Identity, el responsable del tratamiento de datos, y acuerden mutuamente la transferencia de datos personales fuera del EEE únicamente con las garantías adecuadas y de conformidad con la legislación de la UE en materia de protección de datos.

¿Cuál es el alcance?

Las cláusulas contractuales modelo son estándar para todos los proveedores de tratamiento de datos y documentan el compromiso del proveedor de cumplir la ley de protección de datos de la UE.

¿Con qué frecuencia se lo evalúa/audita?

Las cláusulas contractuales tipo de la UE se ejecutan en función de las necesidades

¿Quién es el público principal?

Clientes que van a transferir datos personales del EEE a One Identity.

Las evaluaciones de seguridad en las aplicaciones son realizadas anualmente por terceros independientes. El objetivo de estas evaluaciones es ayudar a garantizar que descubrimos posibles vulnerabilidades de seguridad en nuestras aplicaciones y que nos alejamos de los 10 primeros puestos de OWASP y de los 25 primeros de SANS. Los probadores tienen acceso a su propia cuenta y al código fuente subyacente.

¿Cuál es el objetivo principal de esta iniciativa?

Las evaluaciones de seguridad ayudan a One Identity a identificar posibles vulnerabilidades de seguridad en nuestras aplicaciones, incluidas las que figuran en el Top 10 de OWASP y el Top 25 de SANS.

¿Cuál es el alcance?

Las aplicaciones principales se cubren en cada evaluación y los servicios adicionales, incluidas las aplicaciones móviles y las extensiones de navegador, son áreas de interés de forma rotatoria.

¿Con qué frecuencia se lo evalúa/audita?

Todos los años se realizan evaluaciones de seguridad de terceros.

¿Quién es el público principal?

Una identidad: uso interno

Los programas de recompensas por vulnerabilidades son otro medio para que las organizaciones descubran fallos en sus sistemas, ya que aprovechan una amplia red de investigadores de seguridad de todo el mundo a los que se incentiva para que revelen errores de seguridad de forma responsable a través de un sistema de recompensas. Desde el punto de vista operativo, los resultados finales son muy similares a los de una evaluación de seguridad realizada por un proveedor, pero el número de investigadores que buscan fallos es mucho mayor y no está limitado en el tiempo, a diferencia de un ejercicio típico de prueba de penetración.

¿Cuál es el objetivo principal de esta iniciativa?

Al igual que nuestras evaluaciones de seguridad programadas, el programa de recompensas por vulnerabilidades ayuda a OneLogin a identificar posibles fallos de seguridad en nuestra aplicación, incluidas las que figuran en el Top 10 de OWASP y en el Top 25 de SANS.

¿Con qué frecuencia se lo evalúa/audita?

Programa en curso.

¿Quién es el público principal?

OneLogin: Solo para uso interno

La Ley Gramm-Leach-Bliley (GLBA) de 1999 estableció por primera vez la obligación de proteger la información financiera de los consumidores. La normativa de los servicios financieros sobre seguridad de la información, iniciada por la GLBA, obliga a las instituciones financieras de Estados Unidos a crear un programa de seguridad de la información para proteger la seguridad, confidencialidad e integridad de dicha información. El Consejo Federal de Examen de las Instituciones Financieras (FFIEC) da soporte esta misión proporcionando directrices amplias y en evolución para el cumplimiento de la normativa. OneLogin no almacena información financiera de consumidores, pero ha adaptado su marco de controles a las directrices de la FFIEC para validar que somos capaces de cumplir la GLBA si surgiera la necesidad. Este marco de control se evalúa como parte de los informes SOC 2 Tipo 2.

¿Cuál es el objetivo principal de esta iniciativa?

Validar que OneLogin podría cumplir las directrices de la FFIEC diseñadas según los requisitos de la GLBA para proteger la información financiera de los consumidores.

¿Cuál es el alcance?

Evaluación de los controles de seguridad de OneLogin según las directrices de la FFIEC para comprobar el cumplimiento de la GLBA.

¿Con qué frecuencia se lo evalúa/audita?

Los controles de seguridad alineados con las directrices de la FFIEC para la comprobación de los requisitos GLBA se evalúan como parte de las auditorías periódicas del informe SOC 2 Tipo 2.

¿Quién es el público principal?

Clientes y terceros relevantes con intereses o necesidades comerciales.

El Instituto Nacional de Normas y Tecnología (NIST ) elaboró el Marco para mejorar la ciberseguridad de las infraestructuras críticas(Marco de ciberseguridad del NIST) en respuesta a la Orden Ejecutiva 13636. El marco, creado gracias a la colaboración entre el gobierno y el sector privado, utiliza un lenguaje común para abordar y gestionar los riesgos de ciberseguridad de una forma rentable y basada en las necesidades de las empresas, sin imponerles requisitos normativos adicionales. One Identity adaptó sus controles de seguridad existentes para que cumplieran este marco con el fin de aumentar su programa de seguridad. Estos controles se comprueban en el marco del informe periódico SOC 2 Tipo 2.

¿Cuál es el objetivo principal de esta iniciativa?

Proporcionar un punto de referencia adicional para desarrollar y mantener el Programa de Seguridad de One Identity.

¿Cuál es el alcance?

El marco consta de tres partes: el núcleo del marco, el perfil del marco y los niveles de aplicación del marco. El Marco Básico es un conjunto de actividades de ciberseguridad, resultados y referencias informativas que son comunes a todos los sectores de infraestructuras críticas, proporcionando la orientación detallada para el desarrollo de Perfiles organizativos individuales. Mediante el uso de los Perfiles, el Marco ayudará a la organización a alinear sus actividades de ciberseguridad con sus requisitos empresariales, tolerancias de riesgo y recursos. Los niveles proporcionan un mecanismo para que las organizaciones vean y comprendan las características de su enfoque de la gestión de los riesgos de ciberseguridad.

¿Con qué frecuencia se lo evalúa/audita?

Los controles de seguridad alineados con el núcleo del marco de ciberseguridad del NIST se evalúan como parte de las auditorías periódicas del informe SOC 2 Tipo 2.

¿Quién es el público principal?

Clientes y terceros relevantes con intereses o necesidades comerciales.

Las organizaciones del sector público y los organismos independientes del Reino Unido pueden utilizar el Mercado Digital para comprar servicios basados en la nube. Para ello, los proveedores deben aceptar y cumplir el marco G-Cloud y OneLogin participa en este programa.

¿Cuál es el objetivo principal de esta iniciativa?

Proporcionar datos del servicio OneLogin a organizaciones del sector público y organismos independientes del Reino Unido de acuerdo con los requisitos del marco G-Cloud.

¿Cuál es el alcance?

El marco G-Cloud exige una declaración de proveedor que contiene elementos de datos estándar que permiten a las organizaciones evaluar a los proveedores según los mismos criterios. Los elementos de datos incluyen información sobre el apoyo a las normas abiertas, el embarque y desembarque, el aprovisionamiento, el almacenamiento de datos, la protección de activos y la resiliencia, la gestión de vulnerabilidades y la gestión de incidentes, entre otros.

¿Con qué frecuencia se lo evalúa/audita?

Cada iteración del marco G-Cloud suele durar 12 meses, momento en el que se crea una nueva iteración y los proveedores deben presentar una nueva declaración basada en los requisitos de esa iteración.

¿Quién es el público principal?

Organizaciones del sector público del Reino Unido y organismos independientes.