Seguridad y Conformidad

Centro de Seguridad
y Conformidad

Saber más

En HiJiffy, entendemos que la confianza es la piedra angular de toda relación comercial exitosa, por lo que estamos comprometidos con la protección de los datos con los más altos estándares de seguridad, privacidad y conformidad.

Este Centro de Seguridad y Conformidad ofrece una descripción general completa de nuestro cifrado sólido, protocolos de seguridad y cumplimiento de los estándares internacionales, lo que garantiza la protección de los datos comerciales.

Aquí, encontrarás información sobre cómo gestionamos los riesgos de seguridad, nuestras prácticas transparentes de manejo de datos y nuestros esfuerzos continuos para adaptarnos y responder a los nuevos desafíos en la gestión de datos.

Idoneidade Verificada

Estado del Sistema

Controles

Ver todos los controles

Subprocesadores

Ver todos los subprocesadores

Amazon Web Services EMEA SARL

Utilizado para alojar nuestros servicios.

Google Cloud EMEA Limited

Utilizado para alojar nuestros servicios y utilizar sus servicios API (por ejemplo, Translate, LookerStudio, Google BigQuery).

Twilio, Inc.

Utilizado como proveedor para enviar mensajes SMS y de WhatsApp.

MessageBird UK Limited

Utilizado para el servicio Pusher para operar nuestro widget de chat en tiempo real.

Preguntas Frecuentes

Ver todas las preguntas frecuentes

¿Dónde están ubicados vuestros servidores?

Irlanda, AWS

¿Qué configuraciones de privacidad/seguridad están disponibles?

2FA, política de contraseñas seguras, SSO (SAML), lista blanca de IP, cifrado de datos de documentos por cuenta, permisos de usuario

¿Cifran los datos en reposo y en tránsito?

Sí, los datos en reposo están cifrados con claves de cifrado AES-256. Para todo el tráfico web enviado a través de Internet público, se utiliza el protocolo TLS v1.2 o superior.

Controles

Seguridad de la infraestructura

Seguridad organizativa

Seguridad del producto

Procedimientos internos de seguridad

Datos y privacidad

Seguridad de la infraestructura

CONTROL

STATUS

Autenticación única para bases de datos de producción aplicada:

La empresa requiere autenticación para los almacenes de datos de producción utilizando mecanismos de autenticación segura autorizados, como claves SSH únicas.

Acceso a claves de cifrado restringido:

La empresa restringe el acceso privilegiado a las claves de cifrado a usuarios autorizados que tengan una necesidad empresarial.

Autenticación de cuenta única aplicada:

La empresa requiere autenticación para sistemas y aplicaciones utilizando un nombre de usuario y contraseña únicos o claves Secure Socket Shell (SSH) autorizadas.

Acceso a aplicaciones de producción restringido:

El acceso al sistema está restringido únicamente al acceso autorizado.

Procedimientos de control de acceso establecidos:

La política de control de acceso de la empresa documenta los requisitos para las siguientes funciones de control de acceso: añadir nuevos usuarios; modificar usuarios; y/o eliminar el acceso de un usuario existente.

Acceso a bases de datos de producción restringido:

La empresa restringe el acceso privilegiado a las bases de datos a usuarios autorizados que tengan una necesidad empresarial.

Acceso al firewall restringido:

La empresa restringe el acceso privilegiado al firewall a usuarios autorizados que tengan una necesidad empresarial.

Acceso al sistema operativo de producción restringido:

La empresa restringe el acceso privilegiado al sistema operativo a usuarios autorizados que tengan una necesidad empresarial.

Acceso a la red de producción restringido:

La empresa restringe el acceso privilegiado a la red de producción a usuarios autorizados que tengan una necesidad empresarial.

Acceso revocado al finalizar la relación laboral:

La empresa completa listas de verificación de terminación para garantizar que el acceso sea revocado para los empleados despedidos dentro de los SLA.

Autenticación única para el sistema de red aplicada:

La empresa requiere autenticación para la «red de producción» utilizando nombres de usuario y contraseñas únicos o claves Secure Socket Shell (SSH) autorizadas.

MFA para acceso remoto aplicada:

Los sistemas de producción de la empresa solo pueden ser accedidos remotamente por empleados autorizados que posean un método válido de autenticación multifactor (MFA).

Acceso remoto cifrado aplicado:

Los sistemas de producción de la empresa solo pueden ser accedidos remotamente por empleados autorizados a través de una conexión cifrada aprobada.

Segmentación de la red implementada:

La red de la empresa está segmentada para prevenir el acceso no autorizado a los datos de los clientes.

Cortafuegos de red utilizados:

La empresa utiliza cortafuegos y los configura para prevenir el acceso no autorizado.

Normas de endurecimiento de red y sistema mantenidas:

Las normas de endurecimiento de red y sistema de la empresa están documentadas, basadas en las mejores prácticas de la industria, y son revisadas al menos anualmente.

Seguridad organizativa

CONTROL

STATUS

Tecnología antimalware utilizada:

La empresa despliega tecnología antimalware en entornos comúnmente susceptibles a ataques maliciosos y la configura para que se actualice rutinariamente, se registre y se instale en todos los sistemas relevantes.

Código de conducta reconocido por los empleados y aplicado:

La empresa requiere que los empleados reconozcan un código de conducta en el momento de su contratación. Los empleados que violen el código de conducta están sujetos a acciones disciplinarias de acuerdo con una política disciplinaria.

Acuerdo de confidencialidad reconocido por los contratistas:

La empresa requiere que los contratistas firmen un acuerdo de confidencialidad en el momento de la contratación.

Acuerdo de confidencialidad reconocido por los empleados:

La empresa requiere que los empleados firmen un acuerdo de confidencialidad durante el proceso de incorporación.

Evaluaciones de rendimiento realizadas:

Se requiere que los gerentes de la empresa completen evaluaciones de rendimiento para sus subordinados directos al menos una vez al año.

Política de contraseñas aplicada:

La empresa requiere que las contraseñas de los componentes del sistema en el alcance se configuren de acuerdo con la política de la empresa.

Formación en concienciación sobre seguridad implementada:

La empresa requiere que los empleados completen la formación en concienciación sobre seguridad dentro de los treinta días posteriores a su contratación y al menos una vez al año a partir de entonces.

Seguridad del producto

CONTROL

STATUS

Autoevaluaciones de control realizadas:

La empresa realiza autoevaluaciones de control al menos una vez al año para asegurarse de que los controles están en su lugar y funcionan eficazmente. Se toman medidas correctivas basadas en los hallazgos relevantes. Si la empresa se ha comprometido con un SLA para un hallazgo, la acción correctiva se completa dentro de ese SLA.

Pruebas de penetración realizadas:

Las pruebas de penetración de la empresa se realizan al menos una vez al año. Se desarrolla un plan de remediación y se implementan cambios para remediar las vulnerabilidades de acuerdo con los SLA.

Transmisión de datos cifrada:

La empresa utiliza protocolos de transmisión de datos seguros para cifrar datos confidenciales y sensibles cuando se transmiten a través de redes públicas.

Procedimientos de monitoreo de vulnerabilidades y sistemas establecidos:

Las políticas formales de la empresa describen los requisitos para las siguientes funciones relacionadas con IT / Ingeniería: gestión de vulnerabilidades; monitoreo del sistema.

Procedimientos internos de seguridad

CONTROL

STATUS

Planes de continuidad y recuperación ante desastres establecidos:

La empresa tiene planes de continuidad del negocio y recuperación ante desastres que describen planes de comunicación para mantener la continuidad de la seguridad de la información en caso de la indisponibilidad de personal clave.

Sistema de gestión de configuraciones establecido:

La empresa cuenta con un procedimiento de gestión de configuraciones para garantizar que las configuraciones del sistema se implementen de manera coherente en todo el entorno.

Procedimientos de gestión de cambios aplicados:

La empresa requiere que los cambios en los componentes de software e infraestructura del servicio sean autorizados, documentados formalmente, probados, revisados y aprobados antes de ser implementados en el entorno de producción.

Acceso a la implementación de producción restringido:

La empresa restringe el acceso para migrar cambios a producción al personal autorizado.

Procesos de copia de seguridad establecidos:

La política de copia de seguridad de datos de la empresa documenta los requisitos para la copia de seguridad y recuperación de los datos de los clientes.

Cambios en el sistema comunicados externamente:

La empresa notifica a los clientes sobre cambios críticos en el sistema que pueden afectar su procesamiento.

Roles y responsabilidades de gestión definidos:

La dirección de la empresa ha establecido roles y responsabilidades definidos para supervisar el diseño e implementación de los controles de seguridad de la información.

Estructura organizativa documentada:

La empresa mantiene un organigrama que describe la estructura organizativa y las líneas de reporte.

Políticas de seguridad establecidas y revisadas:

Las políticas y procedimientos de seguridad de la información de la empresa están documentados y se revisan al menos anualmente.

Sistema de soporte disponible:

La empresa tiene un sistema de soporte externo que permite a los usuarios informar sobre fallos del sistema, incidentes, preocupaciones y otras quejas al personal apropiado.

Cambios en el sistema comunicados:

La empresa comunica los cambios del sistema a los usuarios internos autorizados.

Revisiones de acceso realizadas:

La empresa realiza revisiones de acceso al menos trimestralmente para los componentes del sistema en el alcance para ayudar a garantizar que el acceso esté restringido adecuadamente. Los cambios requeridos se rastrean hasta su finalización.

Solicitudes de acceso requeridas:

La empresa garantiza que el acceso de los usuarios a los componentes del sistema en el alcance se base en el rol y la función del trabajo o requiera un formulario de solicitud de acceso documentado y la aprobación del gerente antes de que se proporcione el acceso.

Políticas de respuesta a incidentes establecidas:

La empresa cuenta con políticas y procedimientos de respuesta a incidentes de seguridad y privacidad que están documentados y se comunican a los usuarios autorizados.

Procedimientos de gestión de incidentes seguidos:

Los incidentes de seguridad y privacidad de la empresa se registran, rastrean, resuelven y comunican a las partes afectadas o relevantes por la dirección según la política y los procedimientos de respuesta a incidentes de seguridad de la empresa.

Recursos de soporte externo disponibles:

La empresa proporciona directrices y recursos de soporte técnico relacionados con las operaciones del sistema a los clientes.

Descripción del servicio comunicada:

La empresa proporciona una descripción de sus productos y servicios a usuarios internos y externos.

Acuerdos con terceros establecidos:

La empresa tiene acuerdos escritos con proveedores y terceros relacionados. Estos acuerdos incluyen compromisos de confidencialidad y privacidad aplicables a esa entidad.

Datos y privacidad

CONTROL

STATUS

Procedimientos de retención de datos establecidos:

La empresa tiene procedimientos formales de retención y eliminación para guiar la retención y eliminación segura de los datos de la empresa y de los clientes.

Política de clasificación de datos establecida:

La empresa tiene una política de clasificación de datos para ayudar a garantizar que los datos confidenciales estén debidamente asegurados y restringidos al personal autorizado.

Subprocesadores

Amazon Web Services EMEA SARL

Utilizado para alojar nuestros servicios.

Google Cloud EMEA Limited

Utilizado para alojar nuestros servicios y utilizar sus servicios API (por ejemplo, Translate, LookerStudio, Google BigQuery).

Twilio, Inc.

Utilizado como proveedor para enviar mensajes SMS y de WhatsApp.

MessageBird UK Limited

Utilizado para el servicio Pusher para operar nuestro widget de chat en tiempo real.

Triptease Ltd

Utilizado para operar la funcionalidad de comparación en tiempo real entre el precio del motor de reservas y los precios en las plataformas OTA más populares.

DeepL

Traducciones automáticas.

Open AI - Utilizado solo para complementos de IA

Capacidades de IA utilizadas para complementos de IA.