Seguridad en Factorial

Factorial HR puede ser tanto Controlador como Procesador de datos personales para cumplir con el GDPR. Por ejemplo, cuando un cliente celebre un contrato directamente con nosotros, Factorial será el controlador de los datos personales para el tratamiento de la información de dicho cliente.

Sin embargo, en la mayoría de los casos, debido a la naturaleza de nuestro negocio, Factorial no tiene una relación directa con los interesados y procesa exclusivamente los datos personales del usuario final en nombre de los clientes y de acuerdo con sus instrucciones. Por lo tanto, si usted es un empleado que utiliza nuestra plataforma, nosotros actuamos únicamente como un procesador de datos con respecto al tratamiento de sus datos. Nuestros clientes deciden los fines para los que utilizan nuestra Plataforma, así como los medios de recopilación de sus datos, de acuerdo con las funciones de nuestra plataforma. 

En el caso de los usuarios que navegan por nuestra web, Factorial será el procesador de los datos que ahí se recopilan, como las cookies, o cualquier dato que sea relevante para disfrutar nuestros contenidos. 

Puede encontrar la DPA de Factorial aquí, la cual puede ser llenada y firmada en línea. 

Esta es nuestra lista actualizada de subprocesadores.

Factorial HR designó a un responsable para la protección de datos, cuya información de contacto es:

Pridatect, S.L. Carrer de Tarragona 161, 3rd Floor, 08014, Barcelona, España. legal@pridatect.com

En el caso de que Factorial detecte una falla de seguridad, activará un procedimiento para el análisis de fallas de seguridad que permitirá conocer:

-La naturaleza de la falla de seguridad -Las categorías de los datos personales afectados -El número aproximado de interesados afectados -El número aproximado de registros de datos personales afectados, y -Las consecuencias de la falla

De manera paralela a la investigación, Factorial tomará las acciones inmediatas de contención y corrección que sean oportunas, y registrará el incidente para que exista una trazabilidad de los incidentes que ocurrieron en la organización.

Una vez que se efectúe el análisis, Factorial determinará si debe notificarse a la Autoridad de Protección de los datos, y evaluará si la violación de los datos personales implica un riesgo para los derechos y libertades de los interesados afectados por la violación. 

Asimismo, Factorial determinará si es necesario notificar el incidente a los interesados.

En cualquier caso, Factorial comunicará al cliente la falla de seguridad en un plazo inferior a 48 horas. Dicha comunicación incluirá:

-Las medidas de mitigación de los riesgos que se adoptaron -Las mejoras técnicas -Los cambios en la gestión de incidentes -La actualización de los procedimientos

Envíe un correo electrónico a security@factorial.co

Información que se sugiere proporcionar (cuando corresponda):

- Descripción del incidente:

- Nombre de la empresa y nombre del usuario afectado:

- Tipo de datos afectados:

- Alcance del incidente detectado: 

- Grado de afectación a los derechos de los interesados:

Factorial cuenta con la certificación ISO/IEC 27001:2017. Actualmente, este es el nivel más alto de la norma global de seguridad sobre la información disponible, el cual proporciona a los clientes la garantía de que cumplimos con rigurosos estándares internacionales en materia de seguridad.

Puede descargar nuestro certificado ISO 27001 aquí.

Factorial ya comenzó el proceso de obtención del certificado SOC II tipo I, y esperamos estar totalmente certificados para el verano del 2022.

Todos nuestros servicios se ejecutan en la nube. No alojamos ni ejecutamos nuestros propios enrutadores, balanceadores de carga, servidores DNS o servidores físicos.

Todos los datos de nuestros clientes se almacenan en los servidores de Amazon Web Services (AWS) en Frankfurt, Alemania, un conjunto de servicios web en la nube que garantizan la máxima seguridad. Empresas como Netflix o Airbnb confían en AWS para administrar los datos de millones de usuarios.

El centro de datos de Amazon Web Services está protegido por tres capas físicas de seguridad. Asimismo, las instalaciones están protegidas contra impactos y sólo son accesibles mediante tarjeta personal intransferible y pin.

Puede leer más sobre sus prácticas de seguridad aquí: AWS

Nuestra arquitectura de seguridad de red cuenta con varias zonas de seguridad. Supervisamos y protegemos nuestra red para asegurarnos de que no se realice ningún acceso no autorizado utilizando:

- Nube privada virtual (VPC)

- Un cortafuegos que supervisa y controla el tráfico de red entrante y saliente

- Cifrado en tránsito: todos los datos que se envían hacia o desde nuestra infraestructura son cifrados en tránsito con ayuda de las mejores prácticas de la industria utilizando Transport Layer Security (TLS). Puede ver nuestro informe de Cifrado en tránsito en SSL LABS.

- Cifrado en reposo: Confiamos en AWS Key Management Service (AWS KMS) para administrar nuestras claves criptográficas. De forma predeterminada, se selecciona el algoritmo de cifrado "SYMMETRIC_DEFAULT", que actualmente representa AES-256-GCM, un algoritmo simétrico basado en el Estándar de cifrado avanzado (AES). Esas claves se utilizan para cifrar/descifrar nuestros depósitos S3, bases de datos, administrador de secretos, lambda, redshift y lightsail.

Conservamos sus datos durante un período de 1 año después de que cierre su cuenta. Después de ese período, todos los datos se eliminan por completo de los servidores. Una vez eliminados, los datos solo podrán recuperarse 30 días después.

- Usamos tecnologías para monitorear excepciones, registros y detectar anomalías en nuestras aplicaciones.

- Recopilamos y almacenamos registros para proporcionar un seguimiento de auditoría de la actividad de nuestras aplicaciones.

Desarrollamos siguiendo las mejores prácticas y marcos de seguridad (OWASP Top 10, SANS Top 25) para garantizar el más alto nivel de seguridad en nuestro software:

- Revisamos periódicamente nuestro código en busca de vulnerabilidades de seguridad. - Actualizamos regularmente nuestras dependencias y nos aseguramos de que ninguna de ellas tenga vulnerabilidades conocidas - Utilizamos pruebas de seguridad de aplicaciones estáticas (SAST) para detectar vulnerabilidades de seguridad en nuestra base de código y hacer cumplir los estándares de código. - Verificamos periódicamente los incidentes de seguridad, informados por cazadores de recompensas de errores o proveedores de pentest, y los solucionamos con entusiasmo. Nuestro último pentest fue realizado por Cobalthttps://cobalt.io/ - Mantenemos secretos lejos del código. - Mantenemos las imágenes del sistema operativo y Docker actualizadas y ejecutamos los servicios con un rol sin privilegios

- Protegemos a nuestros usuarios contra las filtraciones de datos al monitorear y bloquear los ataques de fuerza bruta.

- El inicio de sesión único (SSO) está disponible mediante la cuenta de Google, Microsoft y Linkedin.

- El control de acceso basado en permisos se ofrece en todas nuestras cuentas y permite a nuestros usuarios definir permisos.

- Usamos AWS Cognito, por lo que, de forma predeterminada, admitimos la autenticación multifactor.

- Utilizamos las herramientas de seguridad de Github para recibir alertas en caso de vulnerabilidad. El equipo de seguridad aplica parches de manera rutinaria.

Todo el procesamiento de instrumentos de pago se subcontrata de forma segura con Stripe, que está certificado como proveedor de servicios de nivel 1 de PCI. No recopilamos ninguna información de pago y, por lo tanto, no estamos sujetos a las obligaciones de PCI.

- Administramos las cuentas de manera centralizada

- Confiamos en un sistema de administración de contraseñas

- Utilizamos cuentas nominales con 2FA implementado

- Rotamos las contraseñas cada 90 días

- Hacemos los onboardings y offboardings de los nuevos empleados utilizando un checklist que tiene en cuenta las mejores practicas de seguridad.

- Utilizamos medidas de seguridad física en la oficinas para asegurarnos de que solo nuestros empleados tienen acceso a las mismas.

- Recordamos a nuestros empleados de manera rutinaria el bloqueo de sus ordenadores.

Nos aseguramos de que todos nuestros empleados cuenten con formación específica en protección de datos y en seguridad de la información.

Llevamos a cabo verificaciones de antecedentes para potenciales incorporaciones.

Factorial hará todo lo que esté en sus manos para estar disponible con un porcentaje mensual de al menos 99,95%. Sujeto a las Exclusiones de SLA, si no cumplimos con el Compromiso de servicio, el cliente será elegible para recibir un Crédito de servicio. Esto significa que garantizamos que el cliente no experimentará más de 21,56 min/mes de Indisponibilidad.

Mantenemos una fuente públicamente disponible para nuestro tiempo de actividad en https://status.factorialhr.com. Por favor, no dude en suscribirse para recibir actualizaciones de incidentes.

Factorial hace una copia de seguridad de todos los datos diariamente y conserva las copias de seguridad durante 30 días. Por lo tanto, nuestro RPO es de 1 día. Vale la pena notar que tenemos alta disponibilidad con RDS Multi-AZ. Esto significa que para tener pérdida de datos ambas zonas de disponibilidad deberían tener un incidente al mismo tiempo (escenario extremadamente improbable). Si eso sucediera, para nosotros sería muy fácil recuperar una copia de seguridad. Nuestro RTO es de 15 minutos.

Los Créditos de servicio se calculan como un porcentaje de los cargos totales adeudadas en su factura de Factorial para el ciclo de facturación mensual en el que ocurrió la Indisponibilidad.

Para un porcentaje de tiempo de actividad mensual inferior al 99,95%, será elegible para un crédito de servicio del 5% si los cargos del período actual.

Aplicaremos los Créditos de servicio solo en relación a pagos futuros por la prestación de servicios.

Para recibir un Crédito de servicio, deberá presentar una reclamación enviando un correo electrónico a support@factorial.co indicando las fechas y horas de cada incidente de indisponibilidad detectado.

Si confirmamos el porcentaje de tiempo de actividad mensual de dicha solicitud y es menor que el Compromiso de Servicio, emitiremos el Crédito de servicio dentro del ciclo de facturación del mes siguiente en el que se haya realizado la solicitud confirmada por nosotros.

En caso de que el cliente no haga la solicitud o no proporcione la información requerida arriba, será descalificado de la recepción del crédito de servicio.

El compromiso de Servicio no se aplica a ninguna indisponibilidad:

- Causada por factores fuera del control razonable de Factorial, incluido cualquier evento de fuerza mayor, acceso a Internet o problemas más allá del punto de demarcación de Factorial.

- Que resulte de cualquier acción o inacción del cliente con un tercero.

- Que resulte del equipo, software u otra tecnología suya o de un tercero (que no sea equipo de terceros bajo nuestro control directo).

- Que resulte de cualquier Mantenimiento.

Si la disponibilidad se ve afectada por factores distintos a los utilizados en nuestro cálculo del porcentaje de tiempo de actividad mensual, emitiremos un crédito de servicio considerando dichos factores a nuestra discreción.

Aquí puedes encontrar nuestra política de privacidad actualizada.

Aquí puedes encontrar los términos y condiciones de Factorial.

De forma enunciativa pero no limitativa, se entenderá como Información Confidencial la información referida a datos de clientes, su existencia, su estructura, planes de promoción y venta, códigos fuente y objeto de programas informáticos, sistemas, técnicas, inventos, procesos, patentes, marcas, diseños registrados, derechos de autor, know-how, nombres comerciales, datos técnicos y no técnicos, dibujos, bocetos, datos financieros, planes relativos a nuevos productos, datos relativos a clientes o potenciales clientes así como cualquier otra información utilizada en el ámbito empresarial de Factorial y del Cliente.

La obligación de confidencialidad subsistirá incluso después de la resolución, por cualquier causa, de la relación contractual entre las partes sin que se genere ningún tipo de indemnización.

El incumplimiento de la obligación de confidencialidad asumida en este acuerdo o la devolución de la Información Confidencial establecida anteriormente, dará derecho a cualquiera de las Partes a reclamar el importe íntegro de los daños y perjuicios que dicho incumplimiento hubiera generado.