Información general de seguridad
Esta sección pretende ayudarte a evaluar todos los aspectos de la seguridad de los datos y, en particular, a evaluar el cumplimiento que puedas necesitar para satisfacer los requisitos de protección de datos de tu país. Para nuestros clientes de la UE, tenemos una guía adicional sobre la protección de datos en la UE disponible aquí.
¿Cómo garantiza Capsule el almacenamiento seguro de los datos que poseo?
Nuestra página sobre seguridad técnica explica nuestro enfoque para garantizar la seguridad de tus datos, incluyendo detalles sobre la seguridad del centro de datos, el cifrado de datos, la ubicación, las actualizaciones de seguridad y las revisiones de terceros.
¿Quién puede acceder a mis datos?
Tú eliges a quiénes invitar a tu cuenta de Capsule y los permisos que tienen. También puedes optar por conceder acceso a otras aplicaciones que se integren con Capsule. Debes aplicar la misma evaluación de seguridad a cualquier aplicación o tercero al que concedas acceso.
Cuando invitas a un usuario a Capsule, este elige un nombre de usuario y una contraseña que utilizará para iniciar sesión en Capsule. Actualmente, cuando un usuario establece una contraseña, Capsule sigue las directrices del NIST, lo que significa que el usuario debe elegir una contraseña segura de al menos 8 caracteres y que no sea una contraseña de uso común (como password
o 12345678
). Es posible que en el futuro revisemos las normas sobre contraseñas de acuerdo con las directrices del NIST u otras buenas prácticas.
Los usuarios también deben activar la autenticación de dos factores (2FA), que ayuda a proteger la cuenta de un usuario aunque alguien haya obtenido o adivinado su contraseña.
En la lista Usuarios de la configuración de tu cuenta de Capsule, puedes ver qué usuarios han activado la autenticación de dos factores.
Tus usuarios conocerán estos requisitos en la Guía de introducción para usuarios.
¿Cuáles son los niveles de servicio de Capsule? ¿Puedo acceder a mis datos donde y cuando quiera?
Nuestro objetivo es que Capsule esté disponible 24 horas al día, 7 días a la semana, y que puedas iniciar sesión de forma segura para acceder a tus datos en el momento y lugar que te convengan a través de un PC, un Mac o tu teléfono móvil.
Capsule se beneficia del Acuerdo de nivel de servicio EC2 de Amazon, diseñado para proporcionar un tiempo de actividad del 99,95 %. Normalmente lo superamos, y nuestro informe de tiempo de actividad publicado demuestra nuestro historial.
Capsule funciona con capacidad de reserva para atender las solicitudes de todos los clientes, y como Capsule está alojada en una plataforma en la nube, podemos aumentar la capacidad en poco tiempo. También se aplican límites de tarifa de uso razonable y otras protecciones a todos los clientes de Capsule para evitar que un cliente afecte a la calidad del servicio.
El personal de Capsule y la seguridad de tus datos
Tus datos son tus datos y nunca tocamos tus datos sin tu permiso explícito.
Para prestar el servicio, disponemos de personal de operaciones autorizado con acceso a la infraestructura subyacente y, por tanto, a los datos subyacentes en bruto. Sin embargo, nunca accedemos a datos específicos de un cliente a menos que estemos trabajando con él para investigar un problema y tengamos tu permiso explícito para realizar una consulta específica sobre los datos que nos ayude a delimitar el problema.
La seguridad de nuestro equipo:
- Todas las personas de nuestro equipo están contratadas con el máximo nivel de confidencialidad.
- El personal de Capsule no tiene acceso a las contraseñas ni puede entrar en tu cuenta, ni tampoco los terceros con los que trabajamos. Puedes elegir invitarnos como usuario temporal para ayudarnos a resolver una duda que tengas.
- Nunca tenemos acceso a la información completa de la tarjeta de pago, la cual se almacena fuera de nuestros servidores.
¿Se compartirán mis datos con terceros?
Nunca revelaremos tu información personal a nadie, excepto cuando tengamos que hacerlo de acuerdo con nuestra Política de privacidad, especialmente la sección denominada “Divulgación de tu información”.
¿Qué información está disponible para controlar quién accede a mis datos?
Tu(s) superadministrador(es) puede(n) supervisar la actividad de inicio de sesión en la cuenta visitando:
- Ve a Configuración de la cuentaUsuarios y equipos
- Ve a la pestaña Inicios de sesión recientes.
Certificación de Capsule
Cumplimos el Reglamento General de Protección de Datos de la UE (RGPD). Las oficinas de la Comisión de Datos de la UE no exigen ni ofrecen un certificado que podamos solicitar. Sus requisitos son que cumplamos la legislación, que ya cumplimos.
Este artículo es especialmente útil para explicarlo. No existen organismos habilitados por las Oficinas de la Comisión de la UE para auditar y certificar el cumplimiento del RGPD. Dicho esto, podemos asegurarte que Capsule ofrece la seguridad necesaria para que cumplas la normativa, por ejemplo, en materia de encriptación y acuerdos legales, y Capsule tiene la funcionalidad necesaria para garantizar que puedes actuar de forma responsable con los datos de tus clientes.
Nos han preguntado por la certificación ISO y SOC. Se trata de certificaciones que confirman los niveles de seguridad, ISO principalmente en la UE y SOC principalmente en EE. UU., y estamos considerando la posibilidad de utilizar una de ellas o ambas para confirmar nuestro nivel de seguridad en el futuro. Ambos implican auditorías y mucha documentación para confirmar correctamente nuestra posición de seguridad, y no dispondremos de estos certificados hasta dentro de algún tiempo. Es importante explicar que estos certificados solo podrían utilizarse para ayudar a confirmar la seguridad que ya tenemos implantada.
¿Cómo se encriptan mis datos?
Los datos que se transfieren entre Capsule y tú se encriptan en tránsito utilizando seguridad de capa de transporte (TLS). Trabajamos duro para apoyar los estándares criptográficos más elevados posibles para la encriptación de datos en tránsito y desactivamos el apoyo a cualquier estándar antiguo que ya no se considere seguro. Todos los datos de los clientes están encriptados en reposo.
¿Qué ocurre cuando cancelo mi cuenta?
Como se describe en la sección Finalización y cancelación de los términos de Capsule:
“Cuando se cierra o cancela una cuenta, la cuenta y cualquier contenido que haya quedado en ella quedarán inaccesibles. Durante un periodo de 14 días tras la cancelación de cualquier cuenta, puedes solicitar que restablezcamos tu cuenta. Transcurrido este periodo, tu cuenta y todos los datos de cliente contenidos en ella se eliminarán de forma permanente, y el acuerdo entre nosotros establecido en estas condiciones de cliente finalizará automáticamente. Ten en cuenta que los datos parciales pueden residir en nuestros sistemas de copia de seguridad o archivo durante un periodo de hasta 50 días.”
¿Cómo hago una copia de seguridad de mis datos?
Capsule proporciona una función para exportar tus datos a un archivo ZIP. A su vez, el archivo ZIP contiene un archivo CSV independiente para tus contactos, proyectos y oportunidades con todos sus detalles, incluidas las notas y el historial de correos electrónicos. Los archivos CSV pueden abrirse en diversas aplicaciones de hojas de cálculo. Un administrador puede exportar una copia de seguridad así:
- Ve a Configuración de la cuenta y, a continuación, selecciona Exportar datos.
- Haz clic en el botón para Exportar a archivo ZIP.
- Se enviará un correo electrónico a la primera dirección de correo electrónico de tu registro de usuario con el archivo ZIP que contiene los datos.
Puedes obtener más información sobre cómo exportar tu cuenta para realizar copias de seguridad en nuestro artículo sobre exportación.
¿Cómo se protegen mis datos de la destrucción accidental?
Nuestros sistemas replican automáticamente tus datos en múltiples ubicaciones en tiempo real para maximizar la disponibilidad. También se realizan constantemente copias de seguridad de los datos para garantizar que podamos restablecer el acceso a tus datos y al servicio en el improbable caso de que las réplicas de datos en todas las ubicaciones fallen a la vez.
En caso de que uno de tus usuarios elimine accidentalmente un registro, el superadministrador dispone de 30 días para restaurarlo. Más información sobre cómo restaurar registros.
Además, tienes la posibilidad y se te anima a que descargues y conserves tu propia copia de seguridad.
En caso de filtración de datos, ¿cuál es el proceso de notificación y alerta de Capsule?
Amazon es responsable de asegurarse de que sus centros de datos y los servicios que prestan son seguros y de notificarnos cualquier filtración. Amazon se toma en serio tanto la seguridad física como la de la red, garantizando la seguridad de tus datos: http://aws.amazon.com/security/. Proporcionamos seguridad por encima de estos servicios prestados por la infraestructura.
Para las filtraciones, nuestro enfoque preferido es limitar la posibilidad de que se produzcan en primera instancia. Contamos con sólidos procesos internos para garantizar la rápida instalación de actualizaciones de seguridad, la protección de nuestros activos (incluida la autenticación de dos factores para los sistemas sensibles), y también para limitar el acceso a los datos al personal clave en función de las necesidades. Además, nadie en nuestra empresa tiene derecho a acceder a tus datos sin tu permiso. También contratamos a una organización externa de pruebas de penetración para validar nuestra seguridad y revisar el código de nuestras aplicaciones. Con estas medidas, no hemos tenido ninguna filtración de seguridad en los nueve años que llevamos funcionando.
En caso de que se detectara una filtración de seguridad, llevaríamos a cabo una investigación para comprender el alcance de la filtración y si algún dato se vio afectado. Dependiendo de la naturaleza de la filtración, haríamos todo lo posible por comprender lo que ha ocurrido lo antes posible. Nuestro objetivo sería informarte lo antes posible y en un plazo máximo de 72 horas si te has visto afectado por la filtración.
Aunque podemos proteger nuestros servidores, tú, como responsable del tratamiento de datos de tu cuenta, tienes la responsabilidad de garantizar que tu equipo también sigue unas buenas prácticas de seguridad. Por ejemplo, asegurándonos de que cada servicio que utilicen tenga una contraseña fuerte y única, y considerando la posibilidad de activar la autenticación de dos factores.
La protección de datos y la legislación RGPD de la UE
Capsule ha utilizado el Reglamento General de Protección de Datos (RGPD) de la UE para establecer la norma de protección de datos. Se aplica a cualquiera que almacene datos personales sobre cualquier residente de la UE. Animamos a todos los clientes a que evalúen su cumplimiento en materia de protección de datos, ya sea en la UE o en cualquier otra parte del mundo, en función de cómo cumplimos estas normas. Además de este artículo, hemos preparado preguntas frecuentes sobre el RGPD para ayudarte a completar un análisis de riesgos para ti o para tu organización.
Datos de ubicación
Todos los datos de Capsule se almacenan en Amazon Web Services (AWS) en Estados Unidos. Cualquier dato almacenado fuera de la UE tiene que estar en un país seguro o con una empresa que cumpla las salvaguardias exigidas por la legislación del RGPD.
Hemos acordado con AWS un anexo sobre tratamiento de datos que les compromete a cumplir las cláusulas contractuales tipo, definidas por la Comisión Europea. Esto garantiza la transferencia segura de datos a AWS de acuerdo con las leyes de protección de datos de la UE.
Encontrarás más información sobre las cláusulas contractuales tipo en la Guía de la Oficina del Comisario de Información del Reino Unido (ICO, Information Commissioner’s Office).
Obligaciones y requisitos contractuales tuyos como responsable del tratamiento
La responsabilidad de cumplir el reglamento recae en el responsable del tratamiento. Como tú eres el controlador de datos con respecto a los datos personales que almacenas en Capsule, es tu responsabilidad garantizar el cumplimiento de esta ley si almacenas datos de clientes de la UE.
Para evaluar si Capsule te permite cumplir los requisitos, te recomendamos que realices un sencillo análisis de riesgos. Las respuestas a estas preguntas comunes sobre el RGPD te ayudarán a completar un análisis de riesgos para ti o para tu organización. Lo hacemos con la firme convicción de que Capsule está bien situada para proteger los datos personales que nos confías.
Obligación y relación contractual como encargado del tratamiento de tus datos
Capsule tiene la obligación legal de proteger la información de identificación personal de tus clientes. Lee el acuerdo de procesamiento de datos para comprender nuestros compromisos y nuestro enfoque de la protección de los datos que almacenas en tu cuenta.
Obligaciones y relaciones contractuales con nuestros subprocesadores
Capsule tiene varios subprocesadores, por ejemplo, AWS. Todos estos subprocesadores tienen acuerdos en vigor para garantizar que los datos de tus clientes están protegidos como si nos ocupáramos de ellos directamente en la UE. La lista de nuestros subprocesadores se mantiene aquí.
Funciones de Capsule que apoyan tus requisitos de cumplimiento
Consentimiento de grabación
El RGPD exige que todos los datos de los clientes de la UE tengan una base legal para su tratamiento. El consentimiento es una de las formas de garantizar el tratamiento lícito. Otras incluyen tu derecho a tratar los datos de un cliente por interés legítimo. La Oficina del Comisario de Información del Reino Unido (ICO) ha publicado un borrador de notas orientativas sobre la base legal para el tratamiento que te será útil para saber más sobre lo que implica y si necesitas solicitar un consentimiento proactivo. Haz clic aquí para obtener información al respecto.
Si necesitas registrar el consentimiento proactivo de un cliente, puedes utilizar la función de campos personalizados de Capsule y agregar un campo de casilla de verificación para registrar que se ha dado el consentimiento. Se puede combinar con un campo de fecha para registrar cuándo se dio el consentimiento.
Otra forma posible de destacar a los clientes que han dado su consentimiento para que proceses sus datos es utilizando una etiqueta de datos. Las etiquetas de datos te permiten capturar información adicional con una etiqueta. Por ejemplo, puedes crear una etiqueta “Consentimiento” y registrar la fecha en que se dio el consentimiento junto a la etiqueta.
Derecho al olvido
En virtud del RGPD, se hace hincapié en el derecho al olvido, que permite a una persona solicitar que se eliminen sus datos. Si uno de tus clientes te pide que elimines su información, puedes utilizar la función “Papelera” de Capsule para hacerlo.
Un contacto eliminado permanece en la papelera durante 30 días, tras los cuales los datos se eliminan permanentemente de nuestra base de datos en vivo. También hay una opción que permite a los superadministradores purgar registros de contactos individuales de la cuenta inmediatamente, anulando los 30 días en la papelera.
Capsule conserva las copias de seguridad. Como se explica en nuestros términos de cliente, nos aseguramos de que los datos residuales se borren en un plazo de 50 días a partir de la eliminación de los datos de los sistemas en vivo. Puedes consultar la política actual de eliminación y conservación de datos aquí.
Solicitud de acceso del sujeto (SAR)
Las solicitudes de acceso del sujeto son algo que ha sido un requisito en virtud de la legislación anterior, pero que ha cobrado más importancia con la introducción del RGPD. Con esto, cualquier persona puede solicitar acceso a todos los datos que tengas almacenados sobre ella en Capsule.
Cuando se solicite, un usuario Administrador de Capsule con derechos de exportación puede preparar un SAR utilizando la función “Imprimir resumen”. Contendrá los datos del cliente completados con todo el historial y las notas. Para ello:
- Abre el contacto que ha solicitado sus datos.
- Junto al nombre del contacto, utiliza la flecha hacia abajo para abrir un menú de acciones.
- Selecciona Imprimir resumen.
- Imprime la página.
- Ahora puedes utilizar la función de impresión de tu navegador para imprimir la información, o generar un PDF, por ejemplo.
Cómo procesa Capsule tus datos
Solo procesaremos tus datos personales de acuerdo con tus instrucciones como controlador de datos, de acuerdo con nuestros Términos y Política de Privacidad.