Política de retención de datos

La presente Política de conservación de datos (la «Política») describe los principios y prácticas por los que Credenti Credenti, «nosotros», «nuestro» o «nos») recopila, conserva y elimina datos personales y organizativos. La Política está diseñada para garantizar el cumplimiento de las obligaciones legales y reglamentarias aplicables, los compromisos contractuales y las mejores prácticas del sector.

Definiciones

  • Datos: cualquier información, en formato digital o físico, que sea recopilada, almacenada, procesada o transmitida por Credenti .
  • Empleado: cualquier persona empleada por Credenti, incluidos contratistas, personal temporal y otras personas que realicen trabajos bajo la dirección Credenti.
  • Responsable de protección de datos (DPO): Persona designada por Credenti supervisar la estrategia de protección de datos, el cumplimiento normativo y la coordinación con las autoridades reguladoras, de conformidad con la legislación aplicable.
  • RGPD: El Reglamento General de Protección de Datos (UE) 2016/679, una ley integral de privacidad que regula la protección de datos y la privacidad en la Unión Europea.
  • Interesado: Persona física identificada o identificable cuyos datos personales son tratados por Credenti en su nombre.
  • Datos personales: cualquier información relacionada con una persona física identificada o identificable, incluidos nombres, números de identificación, datos de ubicación, identificadores en línea u otros atributos.
  • Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por medios automatizados o no, tales como la recogida, el registro, la organización, el almacenamiento, la modificación, la recuperación, la consulta, el uso, la divulgación, la difusión o la destrucción.
  • Encargado del tratamiento: persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales por cuenta del responsable del tratamiento.
  • Categorías especiales de datos personales / Datos personales sensibles: Datos personales que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos para la identificación, los datos relativos a la salud o los datos relativos a la vida sexual o la orientación sexual de una persona física.
  • SIEM (gestión de información y eventos de seguridad): plataforma tecnológica o solución que proporciona análisis en tiempo real de alertas de seguridad y registros generados por aplicaciones, hardware de red y sistemas. Las herramientas SIEM se utilizan habitualmente para recopilar, normalizar, almacenar y analizar datos con fines de supervisión de la seguridad y cumplimiento normativo.

1. Objetivo

La presente Política de conservación de datos («Política») ofrece orientación sobre el almacenamiento adecuado y la destrucción oportuna de toda la información, los datos y los documentos, independientemente de su formato, generados en relación con la actividad comercial de la empresa.

El propietario de este documento es el responsable de protección de datos de Credenti.

Estas directrices son revisadas anualmente por el responsable de protección de datos y también pueden ser revisadas y actualizadas continuamente, si el responsable de protección de datos lo considera necesario.

El objetivo de esta Política es definir los períodos y procedimientos de conservación de los datos tratados por Credenti relación con sus productos y servicios. La conservación se limita al tiempo necesario para cumplir los requisitos contractuales, legales y operativos.

2. Ámbito de aplicación

Esta Política se aplica a todos los datos recopilados, procesados o almacenados por Credenti, incluyendo, entre otros:

  • Registros de autenticación del sistema y eventos de acceso
  • Identidad del usuario y metadatos del dispositivo
  • Políticas de acceso y archivos de configuración
  • Registros de actividades administrativas

3. Plazos de conservación

A menos que se estipule expresamente lo contrario en un acuerdo vinculante, Credenti los datos de acuerdo con los siguientes calendarios categorizados. Estos calendarios se establecen para garantizar el cumplimiento de las obligaciones legales y reglamentarias pertinentes, teniendo en cuenta la eficiencia operativa y las limitaciones del rendimiento del sistema. En particular, debido al gran volumen y la naturaleza transitoria de ciertos tipos de registros, como los registros de actividad de los usuarios y los registros administrativos, estas categorías se mantienen durante períodos más cortos. Se recomienda encarecidamente a los clientes que implementen procedimientos de exportación y archivo oportunos, aprovechando soluciones externas de gestión de información y eventos de seguridad (SIEM) o sistemas comparables para facilitar la conservación, el análisis y el cumplimiento a largo plazo.

Esta política se aplica a todos los modelos Credenti , incluidos los entornos de nube multitenant, nube privada dedicada y locales.

  • Registros de actividad del usuario: incluyen registros de sesiones de usuario, uso de aplicaciones y eventos de inicio/cierre de sesión. Se conservan durante un periodo no superior a 90 días. Se recomienda encarecidamente descargarlos a sistemas SIEM externos o sistemas de retención de registros.
  • Registros administrativos: abarca las acciones realizadas en las consolas administrativas, como el aprovisionamiento de usuarios, las actualizaciones de políticas y los cambios de configuración. Se conservan durante 90 días. Los clientes deben implementar el reenvío de registros a sistemas externos para ampliar el acceso.
  • Registros de autenticación y acceso: se refieren a la actividad de acceso basada en credenciales, incluidos los eventos de uso de tarjetas de identificación, las autenticaciones biométricas y el uso de claves de acceso. Se conservan durante 90 días a partir de la fecha de recopilación.
  • Metadatos del usuario: se refiere a registros de identidad, como datos del perfil del usuario, asociaciones de dispositivos y estados de inscripción. Se conservan durante la vigencia de la cuenta del cliente o hasta la cancelación de la cuenta.
  • Datos de configuración y políticas: incluyen ajustes, plantillas, reglas de acceso y políticas de sesión. Se conservan durante la vigencia de la cuenta del cliente o hasta la cancelación de la cuenta.

Se pueden realizar modificaciones a los plazos de retención estándar previa solicitud, siempre que dichos cambios estén respaldados por los requisitos legales o reglamentarios aplicables y se ajusten a las capacidades de la plataforma. Las solicitudes deben documentarse y autorizarse mediante un acuerdo formal de procesamiento de datos o de prestación de servicios.

4. Conservación de los datos de los empleados

Credenti los datos relacionados con los empleados solo en la medida en que sea necesario para las operaciones comerciales, las obligaciones reglamentarias o la gobernanza interna. La conservación y el tratamiento de dichos datos están sujetos a la legislación laboral y a la normativa de protección de datos aplicables.

  • Registros de actividades administrativas: se conservan durante 24 meses.
  • Registros de acceso acreditado: se conservan durante 12 meses a partir de la fecha del último uso.
  • Metadatos de empleo: eliminados en un plazo de 90 días tras la finalización del contrato, salvo que las obligaciones legales exijan lo contrario.

Todos los datos de los empleados se rigen por los mismos controles que se aplican a los datos de los clientes, incluyendo el cifrado, las restricciones de acceso y los procedimientos de auditoría.

5. Procedimientos de minimización y eliminación de datos

Credenti el principio de minimización de datos conservando únicamente los datos necesarios para los fines indicados. De conformidad con la legislación aplicable, incluido, entre otros, el RGPD, los datos personales no se conservarán durante más tiempo del necesario para los fines para los que fueron recopilados. Una vez cumplidos dichos fines, los datos personales se eliminarán de forma segura, a menos que la ley exija o permita un período de conservación más largo.

Los métodos de eliminación y destrucción de datos utilizados por Credenti basan en las capacidades de borrado seguro proporcionadas por Amazon Web Services (AWS), nuestro proveedor de infraestructura. Estos incluyen, entre otros, la eliminación de claves de cifrado gestionadas por AWS (cripto-destrucción), políticas de ciclo de vida del almacenamiento y procedimientos seguros de sobrescritura o desmantelamiento. Todos los métodos están diseñados para ser coherentes con los estándares reconocidos del sector y las obligaciones reglamentarias.

Credenti que la eliminación de datos personales mediante los mecanismos de AWS se ajusta a uno de los siguientes métodos legales reconocidos:

  • Anonimización: Implica la eliminación o transformación permanente de todos los elementos de los datos personales que podrían identificar a una persona física. Una anonimización adecuada garantiza que los datos no puedan, por ningún medio, ser rastreados hasta una persona, ni siquiera por la parte responsable de la anonimización. Cabe destacar que los datos cifrados o tokenizados no se consideran anonimizados si existe un medio para revertir el proceso.
  • Destrucción: Se refiere a la eliminación completa e irreversible de los datos personales, de modo que no puedan reconstruirse ni recuperarse. Cuando sea aplicable, la destrucción puede lograrse mediante el borrado criptográfico (también conocido como «cripto-trituración»), que consiste en eliminar las claves de cifrado utilizadas para proteger los datos, lo que los hace inaccesibles de forma permanente. Estos procesos de eliminación se ejecutan utilizando mecanismos compatibles con AWS diseñados para cumplir con las normas legales y técnicas aplicables. El nivel de rigor técnico aplicado depende de la clasificación y la sensibilidad de los datos en cuestión.

Los métodos específicos mediante los cuales se eliminan o destruyen los datos personales en los sistemas Credentise implementan utilizando las capacidades subyacentes que ofrece Amazon Web Services (AWS). El responsable de protección de datos (DPO) Credentidefine las normas internas y las políticas de gobernanza que aplican estos mecanismos respaldados por AWS de manera que se cumplan las obligaciones reglamentarias, los parámetros de seguridad y los compromisos contractuales pertinentes.

Cuando los datos personales se procesen o almacenen utilizando un proveedor de servicios externo (por ejemplo, plataformas de software como servicio o de externalización de procesos empresariales), Credenti y documentará el método por el que se lleva a cabo la supresión. En tales casos, el requisito de supresión segura de los datos personales se incluirá explícitamente en los acuerdos contractuales con el proveedor de servicios, garantizando que Credenti su encargado del tratamiento designado ejecuten la supresión de forma legal y eficaz.

6. Cumplimiento normativo y legal

La presente Política tiene por objeto garantizar el cumplimiento de las leyes aplicables en materia de protección de datos y seguridad de la información, entre las que se incluyen, entre otras, las siguientes:

  • Reglamento General de Protección de Datos (RGPD)
  • Privacy del Consumidor de California (CCPA)
  • Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
  • Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP)
  • Política de seguridad de los Servicios de Información de Justicia Penal (CJIS)
  • Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)

7. Revisión y modificaciones de la política

Esta Política se revisa al menos una vez al año o según lo requieran los cambios en las leyes, reglamentos o requisitos operativos. Cualquier cambio sustancial en esta Política se comunicará a las partes afectadas a través de los canales oficiales o se publicará en nuestro Portal de confianza.

Información de contacto

Las preguntas sobre esta Política deben dirigirse a credenti o por escrito a 5177 Richmond Ave, STE 1160, Houston, TX 77056. Tenga en cuenta que las comunicaciones por correo electrónico pueden no ser seguras. Por lo tanto, no debe incluir información personal u otra información confidencial en su correspondencia por correo electrónico con nosotros.