Seguridad en Factorial

Factorial HR puede ser tanto Controlador como Procesador de datos personales para cumplir con el GDPR. Por ejemplo, cuando un cliente celebre un contrato directamente con nosotros, Factorial será el controlador de los datos personales para el tratamiento de la información de dicho cliente.

Sin embargo, en la mayoría de los casos, debido a la naturaleza de nuestro negocio, Factorial no tiene una relación directa con los interesados y procesa exclusivamente los datos personales del usuario final en nombre de los clientes y de acuerdo con sus instrucciones. Por lo tanto, si usted es un empleado que utiliza nuestra plataforma, nosotros actuamos únicamente como un procesador de datos con respecto al tratamiento de sus datos. Nuestros clientes deciden los fines para los que utilizan nuestra Plataforma, así como los medios de recopilación de sus datos, de acuerdo con las funciones de nuestra plataforma. 

En el caso de los usuarios que navegan por nuestra web, Factorial será el procesador de los datos que ahí se recopilan, como las cookies, o cualquier dato que sea relevante para disfrutar nuestros contenidos. 

Puede encontrar la DPA de Factorial aquí, la cual puede ser llenada y firmada en línea. 

Factorial HR designó a un responsable para la protección de datos, cuya información de contacto es:

Pridatect, S.L. Carrer de Tarragona 161, 3rd Floor, 08014, Barcelona, España. legal@pridatect.com

En el caso de que Factorial detecte una falla de seguridad, activará un procedimiento para el análisis de fallas de seguridad que permitirá conocer:

-La naturaleza de la falla de seguridad -Las categorías de los datos personales afectados -El número aproximado de interesados afectados -El número aproximado de registros de datos personales afectados, y -Las consecuencias de la falla

De manera paralela a la investigación, Factorial tomará las acciones inmediatas de contención y corrección que sean oportunas, y registrará el incidente para que exista una trazabilidad de los incidentes que ocurrieron en la organización.

Una vez que se efectúe el análisis, Factorial determinará si debe notificarse a la Autoridad de Protección de los datos, y evaluará si la violación de los datos personales implica un riesgo para los derechos y libertades de los interesados afectados por la violación. 

Asimismo, Factorial determinará si es necesario notificar el incidente a los interesados.

En cualquier caso, Factorial comunicará al cliente la falla de seguridad en un plazo inferior a 48 horas. Dicha comunicación incluirá:

-Las medidas de mitigación de los riesgos que se adoptaron -Las mejoras técnicas -Los cambios en la gestión de incidentes -La actualización de los procedimientos

Envíe un correo electrónico a security@factorial.co

Información que se sugiere proporcionar (cuando corresponda):

- Descripción del incidente:

- Nombre de la empresa y nombre del usuario afectado:

- Tipo de datos afectados:

- Alcance del incidente detectado: 

- Grado de afectación a los derechos de los interesados:

Factorial cuenta con la certificación ISO/IEC 27001:2017 y ha renovado su certificación en marzo de 2023. Actualmente, este es el nivel más alto de la norma global de seguridad sobre la información disponible, el cual proporciona a los clientes la garantía de que cumplimos con rigurosos estándares internacionales en materia de seguridad.

Puede descargar nuestro certificado ISO 27001 aquí.

Factorial dispone de informe SOC2 Tipo I a agosto de 2022 y estamos trabajando para obtener un informe SOC2 Tipo II en 2023 así como renovar nuestro informe Tipo I.

Los detalles e informes de certificación relacionados se pueden compartir previa solicitud formal y después de la firma de un NDA por parte del solicitante.

Todos nuestros servicios se ejecutan en la nube. No alojamos ni ejecutamos nuestros propios enrutadores, balanceadores de carga, servidores DNS o servidores físicos.

Todos los datos de nuestros clientes se almacenan en los servidores de Amazon Web Services (AWS) en Frankfurt, Alemania, un conjunto de servicios web en la nube que garantizan la máxima seguridad. Empresas como Netflix o Airbnb confían en AWS para administrar los datos de millones de usuarios.

El centro de datos de Amazon Web Services está protegido por tres capas físicas de seguridad. Asimismo, las instalaciones están protegidas contra impactos y sólo son accesibles mediante tarjeta personal intransferible y pin.

Puede leer más sobre sus prácticas de seguridad aquí: AWS

Nuestra arquitectura de seguridad de red cuenta con varias zonas de seguridad. Supervisamos y protegemos nuestra red para asegurarnos de que no se realice ningún acceso no autorizado utilizando:

- Nube privada virtual (VPC)

- Un cortafuegos que supervisa y controla el tráfico de red entrante y saliente

- Cifrado en tránsito: todos los datos que se envían hacia o desde nuestra infraestructura son cifrados en tránsito con ayuda de las mejores prácticas de la industria utilizando Transport Layer Security (TLS). Puede ver nuestro informe de Cifrado en tránsito en SSL LABS.

- Cifrado en reposo: Confiamos en AWS Key Management Service (AWS KMS) para administrar nuestras claves criptográficas. De forma predeterminada, se selecciona el algoritmo de cifrado "SYMMETRIC_DEFAULT", que actualmente representa AES-256-GCM, un algoritmo simétrico basado en el Estándar de cifrado avanzado (AES). Esas claves se utilizan para cifrar/descifrar nuestros depósitos S3, bases de datos, administrador de secretos, lambda, redshift y lightsail.

Conservamos sus datos durante un período de 1 año después de que cierre su cuenta. Después de ese período, todos los datos se eliminan por completo de los servidores. Una vez eliminados, los datos solo podrán recuperarse 30 días después.

- Usamos tecnologías para monitorear excepciones, registros y detectar anomalías en nuestras aplicaciones.

- Recopilamos y almacenamos registros para proporcionar un seguimiento de auditoría de la actividad de nuestras aplicaciones. Según el plan elegido por nuestros clientes, los administradores pueden realizar un seguimiento de todas las acciones y el uso de los registros de los empleados en la plataforma y obtener una mayor visibilidad. Puede encontrar más información sobre los registros de auditoría aquí.

Desarrollamos siguiendo las mejores prácticas y marcos de seguridad (OWASP Top 10, SANS Top 25) para garantizar el más alto nivel de seguridad en nuestro software:

- Revisamos periódicamente nuestro código en busca de vulnerabilidades de seguridad. - Actualizamos regularmente nuestras dependencias y nos aseguramos de que ninguna de ellas tenga vulnerabilidades conocidas - Utilizamos pruebas de seguridad de aplicaciones estáticas (SAST) para detectar vulnerabilidades de seguridad en nuestra base de código y hacer cumplir los estándares de código. - Verificamos periódicamente los incidentes de seguridad, informados por cazadores de recompensas de errores o proveedores de pentest, y los solucionamos con entusiasmo. Nuestro último pentest fue realizado por Cobalthttps://cobalt.io/ Las pruebas de vulnerabilidad internas se realizan continuamente, así como las pruebas de penetración continuas a través de HackerOne. (https://hackerone.com/factorial). - Mantenemos secretos lejos del código. - Mantenemos las imágenes del sistema operativo y Docker actualizadas y ejecutamos los servicios con un rol sin privilegios

- Aseguramos la separación de ambientes y segregación de funciones durante el proceso de desarrollo. Los desarrolladores no tienen la capacidad de migrar cambios a entornos de producción.

- Protegemos a nuestros usuarios contra las filtraciones de datos al monitorear y bloquear los ataques de fuerza bruta.

- El inicio de sesión único (SSO) está disponible mediante la cuenta de Google, Microsoft y Linkedin.

- El control de acceso basado en permisos se ofrece en todas nuestras cuentas y permite a nuestros usuarios definir permisos.

- Usamos AWS Cognito, por lo que, de forma predeterminada, admitimos la autenticación multifactor.

- Utilizamos las herramientas de seguridad de Github para recibir alertas en caso de vulnerabilidad. El equipo de seguridad aplica parches de manera rutinaria.

- Realizamos revisiones de derechos de acceso trimestrales sobre nuestras aplicaciones críticas, incluidos pasos como la revisión de autorizaciones, cuentas genéricas y garantizar que se elimine el acceso de los empleados despedidos.

Todo el procesamiento de instrumentos de pago se subcontrata de forma segura con Stripe, que está certificado como proveedor de servicios de nivel 1 de PCI. No recopilamos ninguna información de pago y, por lo tanto, no estamos sujetos a las obligaciones de PCI.

- Administramos las cuentas de manera centralizada

- Confiamos en un sistema de administración de contraseñas

- Utilizamos cuentas nominales con 2FA implementado

- Rotamos las contraseñas cada 90 días

- Hacemos los onboardings y offboardings de los nuevos empleados utilizando un checklist que tiene en cuenta las mejores practicas de seguridad.

- Nos aseguramos de que los privilegios de acceso cumplan con el principio de mínimo privilegio.

- Utilizamos medidas de seguridad física en la oficinas para asegurarnos de que solo nuestros empleados tienen acceso a las mismas.

- Recordamos a nuestros empleados de manera rutinaria el bloqueo de sus ordenadores.

- Hemos establecido procedimientos en términos de uso de dispositivos móviles y medios extraíbles

Nos aseguramos de que todos nuestros empleados cuenten con formación específica en protección de datos y en seguridad de la información. Además, hay capacitaciones y talleres de seguridad dirigidos a prácticas de desarrollo de software seguro.

Llevamos a cabo verificaciones de antecedentes para potenciales incorporaciones.

Factorial hará todo lo que esté en sus manos para estar disponible con un porcentaje mensual de al menos 99,95%. Sujeto a las Exclusiones de SLA, si no cumplimos con el Compromiso de servicio, el cliente será elegible para recibir un Crédito de servicio. Esto significa que garantizamos que el cliente no experimentará más de 21,56 min/mes de Indisponibilidad.

Mantenemos una fuente públicamente disponible para nuestro tiempo de actividad en https://status.factorialhr.com. Por favor, no dude en suscribirse para recibir actualizaciones de incidentes.

Factorial realiza copias de seguridad de los datos diariamente y conserva las copias de seguridad durante 30 días. La alta disponibilidad está garantizada con RDS Multi-AZ. Dado que para tener pérdida de datos, ambas zonas de disponibilidad deberían tener un incidente al mismo tiempo, esto disminuye la posibilidad de pérdida de datos. Nuestro objetivo de tiempo de recuperación (RTO) es de 15 minutos y nuestro objetivo de punto de recuperación (RPO) es de 1 día.

Los planes relacionados con la continuidad del negocio y la recuperación ante desastres se documentan formalmente según los requisitos del marco ISO27001 y SOC2.

Los Créditos de servicio se calculan como un porcentaje de los cargos totales adeudadas en su factura de Factorial para el ciclo de facturación mensual en el que ocurrió la Indisponibilidad.

Para un porcentaje de tiempo de actividad mensual inferior al 99,95%, será elegible para un crédito de servicio del 5% si los cargos del período actual.

Aplicaremos los Créditos de servicio solo en relación a pagos futuros por la prestación de servicios.

Para recibir un Crédito de servicio, deberá presentar una reclamación enviando un correo electrónico a support@factorial.co indicando las fechas y horas de cada incidente de indisponibilidad detectado.

Si confirmamos el porcentaje de tiempo de actividad mensual de dicha solicitud y es menor que el Compromiso de Servicio, emitiremos el Crédito de servicio dentro del ciclo de facturación del mes siguiente en el que se haya realizado la solicitud confirmada por nosotros.

En caso de que el cliente no haga la solicitud o no proporcione la información requerida arriba, será descalificado de la recepción del crédito de servicio.

El compromiso de Servicio no se aplica a ninguna indisponibilidad:

- Causada por factores fuera del control razonable de Factorial, incluido cualquier evento de fuerza mayor, acceso a Internet o problemas más allá del punto de demarcación de Factorial.

- Que resulte de cualquier acción o inacción del cliente con un tercero.

- Que resulte del equipo, software u otra tecnología suya o de un tercero (que no sea equipo de terceros bajo nuestro control directo).

- Que resulte de cualquier Mantenimiento.

Si la disponibilidad se ve afectada por factores distintos a los utilizados en nuestro cálculo del porcentaje de tiempo de actividad mensual, emitiremos un crédito de servicio considerando dichos factores a nuestra discreción.

Aquí puedes encontrar nuestra política de privacidad actualizada.

Aquí puedes encontrar los términos y condiciones de Factorial.

De forma enunciativa pero no limitativa, se entenderá como Información Confidencial la información referida a datos de clientes, su existencia, su estructura, planes de promoción y venta, códigos fuente y objeto de programas informáticos, sistemas, técnicas, inventos, procesos, patentes, marcas, diseños registrados, derechos de autor, know-how, nombres comerciales, datos técnicos y no técnicos, dibujos, bocetos, datos financieros, planes relativos a nuevos productos, datos relativos a clientes o potenciales clientes así como cualquier otra información utilizada en el ámbito empresarial de Factorial y del Cliente.

La obligación de confidencialidad subsistirá incluso después de la resolución, por cualquier causa, de la relación contractual entre las partes sin que se genere ningún tipo de indemnización.

El incumplimiento de la obligación de confidencialidad asumida en este acuerdo o la devolución de la Información Confidencial establecida anteriormente, dará derecho a cualquiera de las Partes a reclamar el importe íntegro de los daños y perjuicios que dicho incumplimiento hubiera generado.