Genesys Cloud Política de seguridad
Genesys Cloud Términos y condiciones de servicio de seguridad
Estos Términos de seguridad de “Genesys Cloud están incorporados por esta referencia en su contrato de Términos y condiciones de servicio Genesys Cloud con nosotros y describen los requisitos contractuales de seguridad de la información y la protección de datos que nos proporciona usted en relación con los provisión de Genesys Cloud servicios que usted haya autorizado de nosotros. Estos términos son aplicables en la medida en que tenemos acceso y control sobre los Datos del Cliente.
1 Programa de seguridad
1,1 Normas de seguridad. Hemos implementado y mantendremos un programa seguridad de la información que sigue los principios de seguridad del sistema aceptados generalmente en la norma ISO 27001 estándar diseñados para proteger los Datos del Cliente según corresponda a la naturaleza y alcance de los Genesys Cloud Servicios proporcionados.
1.2 Concienciación y formación sobre seguridad. Hemos desarrollado y conservaremos un seguridad de la información y un programa de concienciación que se entrega a todos los empleados y contratistas apropiados en el momento de la contratación o el inicio del contrato y anualmente a partir de entonces. El programa de concienciación se entrega electrónicamente e incluye un aspecto de prueba con requisitos mínimos para aprobar.
1.3 Políticas y procedimientos. Mantendremos las políticas y procedimientos adecuados para apoyar el programa seguridad de la información. Las políticas y procedimientos se revisarán anualmente y se actualizarán según sea necesario.
1.4 Gestión del cambio. Utilizaremos un proceso de gestión de cambios basado en estándares del sector para garantizar que todos los cambios en el entorno de servicios en la nube se revisen, prueben y aprueben adecuadamente.
1.5 Almacenamiento y copia de seguridad de datos. Crearemos copias de seguridad de los datos críticos del cliente de acuerdo con los procedimientos de copia de seguridad documentados. Los Datos del cliente se almacenarán y conservarán únicamente en los medios de almacenamiento de copias de seguridad designados dentro de los Centros de datos. Los datos de copia de seguridad no se almacenarán en medios portátiles. Los datos del cliente almacenados en los medios de copia de seguridad se protegerán del acceso no autorizado
1.6 Protección antivirus y antimalware. Utilizaremos soluciones de protección antivirus y antimalware estándar de la industria para garantizar que todos los servidores que no sean Linux en su entorno de servicios en la nube estén protegidos de forma adecuada contra software malicioso como los troyanos, virus y gusanos. Utilizaremos las prácticas estándar del sector para garantizar que los servicios de Genesys Cloud que se entregan a usted no incluyan ningún programa, rutina, subrutina o datos (incluidos software malicioso o “malware”, virus, gusanos y troyanos) que estén diseñados para interrumpir el funcionamiento correcto de los Genesys Cloud servicios, o que, tras la aparición de un determinado evento, el paso del tiempo, o la toma de cualquier acción, provocará que los Genesys Cloud servicios sean destruidos, dañados o inoperativos. Usted reconoce que el uso de claves de licencia no supondrá un incumplimiento de esta sección.
1.7 Gestión de vulnerabilidades y parches. Mantendremos un programa de gestión de vulnerabilidades que garantice el cumplimiento de los estándares de nuestro programa seguridad de la información.
1.8 Destrucción de datos. Nosotros y nuestros subcontratistas seguirán los procesos estándar del sector para destruir los datos obsoletos y los equipos retirados que anteriormente ocupaban los datos del cliente.
1.9 Pruebas de penetración. Al menos una vez al año, realizaremos una evaluación de vulnerabilidad y un compromiso de pruebas de penetración con un proveedor cualificado independiente. Los problemas identificados durante el compromiso se abordarán adecuadamente dentro de un plazo razonable acorde con el nivel de riesgo identificado del problema. Se pondrá a su disposición una versión limpia del resumen ejecutivo de los resultados de la prueba, previa solicitud por escrito, y estará sujeta a acuerdos de confidencialidad y no divulgación.
2 Seguridad de red
2.1 Controles de red. Emplearemos controles de seguridad de red efectivos basados en normas del sector para garantizar que los datos del cliente estén segmentados y aislados de otros entornos de clientes dentro del centro de datos. Los controles incluyen, entre otros:
(A) Servicios de cortafuegos. Utilizamos servicios de cortafuegos para proteger la infraestructura de servicios Genesys Cloud. Mantenemos reglas de entrada y salida granulares y los cambios deben aprobarse a través de nuestro sistema de gestión de cambios.
(B) Sistema de detección de intrusiones. Hemos implementado sistemas de detección de intrusiones en los entornos de servicios Genesys Cloud que pueden ser basados en red, basados en host o en una combinación de los dos.
(C) Sin redes inalámbricas. No utilizaremos redes inalámbricas dentro de los entornos de servicios de Genesys Cloud.
(D) Conexiones de datos entre usted y el Genesys Cloud Entorno de servicios. Utilizamos circuitos TLS, VPN y/o MPLS para asegurar conexiones entre navegadores, aplicaciones de cliente y aplicaciones móviles a los servicios Genesys Cloud. Las conexiones que traigan una red no fiable (por ejemplo, Internet) utilizarán TLS.
(E) Conexiones de datos entre Genesys Cloud Entorno de servicios y terceros. La transmisión o intercambio de Datos de Clientes con Usted y cualquier tercero autorizado por Usted para recibir los Datos del Cliente se llevará a cabo utilizando métodos seguros (p. ej., TLS, HTTPS, SFTP).
(F) Grabaciones cifradas. Ciframos grabaciones de llamadas y sesiones de chat. Podemos elegir implementar una contraseña única, conocida únicamente para Usted, para proteger las claves de cifrado utilizadas para asegurar las grabaciones de llamadas y las sesiones de chat. Es responsable de mantener los datos confidenciales fuera de las grabaciones a través de la interfaz de servicios Genesys Cloud, como por ejemplo, utilizando la pausa funcionalidad.
(G) Protección de cifrado. Utilizamos métodos estándar de la industria para respaldar el cifrado.
(H) Registro y supervisión. Registraremos los eventos de seguridad desde la perspectiva operativa para todos los servidores que le proporcionen los Genesys Cloud servicios. Supervisaremos e investigaremos los eventos que puedan indicar un incidente o un problema de seguridad. Los registros de eventos se conservarán un año.
3 Control de acceso de usuario
3.1 Control de acceso. Implementaremos controles de acceso adecuados para garantizar que solo los Usuarios autorizados tengan acceso a los Datos del cliente dentro del Entorno de servicios Genesys Cloud.
3,2 Su acceso de usuario. Usted es responsable de gestionar los controles de acceso del usuario en el aplicación. Define los nombres de usuario, las funciones y las características de contraseña (longitud, complejidad y plazo de caducidad) para sus usuarios. Usted es totalmente responsable de cualquier fallo por sí mismo, sus agentes, contratistas o empleados (incluidos, entre otros, todos sus usuarios) para mantener la seguridad de todos los nombres de usuario, contraseñas y otra información de cuenta bajo su control. Excepto en el caso de una secuencia de seguridad causada por nuestra negligencia grave o acción o inacción intencionales, Usted es totalmente responsable de todos los usos de los Genesys Cloud Servicios a través de sus nombres de usuario y contraseñas, tanto si Usted así como los cargos que Usted y todos los cargos resultantes de dicho uso autorizan.
Usted nos notificará inmediatamente si tiene conocimiento de cualquier uso no autorizado de los Genesys Cloud Servicios.
3,3 Nuestro acceso de usuarios. Crearemos cuentas de usuario individuales para cada uno de nuestros empleados o contratistas que tengan una necesidad comercial de acceder a los datos del cliente o a sus sistemas dentro del entorno de servicios Genesys Cloud. Se seguirán las siguientes directrices sobre nuestra gestión de cuentas usuario:
(A) Las cuentas de usuario son solicitadas y autorizadas por nuestra dirección.
(B) Los controles de contraseñas fuertes se aplican sistemáticamente.
(C) Las conexiones deben realizarse mediante VPN segura utilizando contraseñas seguras que caduquen cada noventa (90) días.
(D) Los tiempos de espera de sesión se aplican sistemáticamente.
(E) Las cuentas de usuario se deshabilitan inmediatamente tras la finalización del empleado o función, eliminando una necesidad comercial válida de acceso.
4 Continuidad empresarial y recuperación ante desastres
4.1 Protección contra alteraciones. Los servicios Genesys Cloud se implementarán y configurarán en una alta disponibilidad diseño y los servicios Genesys Cloud se implementarán en centros de datos independientes para proporcionar una disponibilidad óptima de los servicios Genesys Cloud. El entorno de servicios Genesys Cloud está separado físicamente de nuestra red corporativa entorno para que un evento de interrupción que implique la empresa entorno no afecte a la disponibilidad de los servicios Genesys Cloud.
4.2 Continuidad del negocio. Mantendremos un plan de continuidad empresarial corporativo diseñado para garantizar que los servicios de asistencia continua supervisión y de apoyo continuarán en el caso de un evento de interrupción que implique la empresa entorno.
4.3 Recuperación ante desastres. Los servicios Genesys Cloud se implementarán en una alta disponibilidad, redundante diseño. Usted es responsable de definir parámetros específicos con respecto a la sobreconmutación. Con respecto al servicio Genesys Cloud, empleamos una configuración activa
5 Respuesta a incidentes de seguridad
5.1 Programa de respuesta a incidentes de seguridad. Mantendremos un programa de incidente de seguridad respuesta basado en estándares del sector diseñados para identificar y responder a incidentes de seguridad sospechosos y reales que impliquen datos de clientes. El programa será revisado, probado y, si es necesario, actualizado al menos una vez al año. “Incidente de seguridad” se refiere a un evento confirmado que provoca el uso, la eliminación, la modificación, la divulgación o el acceso no autorizados a los Datos del Cliente.
5,2 Notificación. En el caso de un Incidente de seguridad u otro evento de seguridad que requiera notificación conforme a la legislación aplicable, le notificaremos en un plazo de treinta y seis (36) horas a cooperar de forma razonable para que pueda realizar cualquier notificación necesaria relacionada con dicho evento, a menos que lo solicite específicamente la aplicación de la ley o una orden judicial para no hacerlo.
5.3 Detalles de la notificación. Le proporcionaremos los siguientes detalles sobre cualquier Incidente de seguridad: (i) la fecha en la que se identificó y confirmó el Incidente de seguridad; (ii) la naturaleza y el impacto del Incidente de seguridad; (iii) las acciones que ya hemos tomado; (iv) las medidas correctivas que se deben tomar; y (v) la evaluación de alternativas y los pasos siguientes.
5.4 Comunicaciones en curso. Seguiremos proporcionando los informes pertinentes estado a Usted en relación con la resolución del Incidente de seguridad, trabajando continuamente de buena fe para corregir el Incidente de seguridad y evitar futuros Incidentes de seguridad. Cooperaremos, según lo razonablemente solicitado por Usted, para investigar y resolver el Incidente de seguridad.
6 Protecciones de centros de datos
6.1 Centro de datos. Contratamos con terceros proveedores para el espacio del centro de datos. Los proveedores de centros de datos y los servicios relacionados se revisan anualmente para garantizar que siguen satisfaciendo nuestras necesidades y suyos. Cada proveedor de centros de datos mantiene la certificación basada en sus modelos de negocio independientes. Las certificaciones de seguridad y cumplimiento y/o los informes de certificación para los Centros de datos relevantes para sus Genesys Cloud Servicios se proporcionarán a petición por escrito y podrán requerir acuerdos adicionales de confidencialidad.
6,2 Seguridad física. Cada centro de datos se encuentra dentro de una instalación segura y endurecida con los siguientes requisitos mínimos de seguridad física: (a) puntos de entrada seguros y supervisados; (b) cámaras de vigilancia en instalaciones; (c) validación de acceso con verificación de identidad; (d) acceso solo a personas de una lista de acceso aprobada por Nosotros; (e) on-sitio centro de operaciones de red con personal de 24x7x365.
6.3 Controles medioambientales. Cada centro de datos está equipado para proporcionar fuentes de energía eléctrica externas redundantes, fuentes de alimentación ininterrumpidas redundantes, energía del generador de reserva y controles redundantes de temperatura y humedad.
7 Uso de los servicios Genesys Cloud
7.1 Usted no permitirá ni autorizará a otros a utilizar los Servicios de Genesys Cloud para ninguno de los siguientes: (i) violar la legislación aplicable; (ii) para transmitir código malicioso; (iii) transmitir 911 o cualquier servicio de emergencia (o reconfigurar para respaldar o proporcionar dicho uso); (iv) interferir con la carga injustificada, o interrumpir la integridad o rendimiento de los Genesys Cloud Servicios o de los datos de tercerospersona contenidos en; (v) intentar obtener acceso no autorizado a sistemas o redes; o (vi) proporcionar los Servicios Genesys Cloud a terceros que no sean Usuarios, incluyendo, por reventa, licencia, préstamo o arrendamiento.
7.2 Usted utilizará los esfuerzos comercialmente razonables para prevenir y/o bloquear cualquier uso prohibido por parte de los Usuarios.
7.3 Usted mantendrá un nivel de seguridad administrativo, físico y técnico razonable y adecuado en relación con su ID de cuenta, contraseña, protección antivirus y cortafuegos y conectividad con los servicios Genesys Cloud.
7.4 Deberá mantener una estricta seguridad en todas las líneas de servicios Voip. Usted reconoce que no le proporcionamos la capacidad de llegar a 911 u otros servicios de emergencia y acepta informar a cualquier persona que pueda estar presente en el caso de que se utilicen los Genesys Cloud servicios, o que utilicen los Genesys Cloud Servicios, de la no disponibilidad de 911 u otras llamadas de emergencia.
7,5 Si los Servicios de Genesys Cloud se utilizarán para transmitir o procesar Datos personales, se asegurará de que todos los Datos personales se capturen y utilicen únicamente mediante el uso de las Funciones de seguridad disponibles.
7.6 Grabaciones. Entre nosotros y Usted, Usted reconoce que el uso de Grabaciones está exclusivo dentro de Su criterio y control. Sin limitar lo anterior: (i) Usted acepta la única responsabilidad por determinar el método y la forma de realizar grabación de manera que cumpla con todas las leyes aplicables y para la instrucción de los servicios en consecuencia.; y (ii) Se asegurará de que las Grabaciones se realicen únicamente por fines de diagnóstico, garantía de calidad, archivo y/o Asistencia, y en cualquier caso solo para los fines requeridos y/o en cumplimiento de todas las Leyes aplicables. Usted se asegurará de que (a) las Grabaciones no incluirán conscientemente ningún número de cuenta bancaria, número de tarjeta de crédito, código autenticación, número de la Seguridad Social o Datos personales, salvo lo permitido o requerido por todas las Leyes aplicables; o (v) las Grabaciones están cifradas en todo momento. En la medida en que las Grabaciones estén cifradas o cuando Usted sea elegido por Usted como parte de los Genesys Cloud Servicios, Usted deberá elegir dicho cifrado. Usted no modificará, desactivará ni eludirá el cifrado de grabación característica en los Genesys Cloud Servicios y garantizará de otro modo que utilizará los Genesys Cloud Servicios de conformidad con el cifrado característica.
8 Certificaciones específicas del sector
Nuestros controles operativos y de seguridad se basan en las prácticas estándar del sector y están certificados para cumplir las directrices indicadas en la siguiente tabla. No obstante, usted es el único responsable de lograr y mantener cualquier certificación específica del sector necesaria para su negocio:
| Servicio en la nube | PCI | SOC2 TIPO II | ISO 27001 | ISO 27018 | HIPAA | SIG LLENO | SIG LITE | ESCUDO DE PRIVACIDAD |
|---|---|---|---|---|---|---|---|---|
| Genesys Cloud | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
9 Auditorías
Sujeto a nuestras políticas de confidencialidad y seguridad de la información razonables, Usted o un tercero cualificado persona elegido por Usted tendrá el derecho, no más de una vez al año y con treinta (30) días de antelación, a realizar una evaluación de seguridad de nuestro cumplimiento con los términos de estas Genesys Cloud Condiciones de seguridad, siempre y cuando Usted haya demostrado que Usted tiene una creencia razonable de que no estamos en cumplimiento. Durante el planificación laboral normal, Usted o Sus representantes autorizados podrán inspeccionar nuestras políticas y prácticas implementadas para cumplir con estas Genesys Cloud Condiciones de seguridad, que pueden incluir una visita sitio y una revisión de la documentación justificativa razonable, siempre que Usted acuerde que dicho derecho no incluirá el derecho a las inspecciones o auditorías de nuestras instalaciones y equipos de alojamiento en el tercer-persona. Ninguna de estas evaluaciones violará nuestras obligaciones de confidencialidad a los clientes o revelará Nuestra Propiedad intelectual. Cualquier evaluación realizada en virtud de esta Sección no interferirá en la conducta normal de nuestro negocio. Cooperaremos de manera comercialmente razonable con dicha evaluación y se reserva el derecho a cobrarle por nuestros costes razonables incurridos en relación con dicha evaluación.
10 Privacidad
Hemos desarrollado y mantendremos un programa de privacidad diseñado para respetar y proteger los datos del cliente bajo nuestro control, y se encuentra en Genesys Cloud política de privacidad.
11 Datos del cliente
11.1 Entre Genesys y Usted, Usted conserva la titularidad y todos los derechos de propiedad intelectual sobre los Datos del Cliente y nos concede una licencia no exclusiva, no sublicenciable (excepto a las partes que trabajan en Nuestro nombre), la licencia intransferible y sin regalías para acceder, procesar, almacenar, transmitir y de otro modo hacer uso de los Datos del Cliente según sea necesario para prestar los Servicios y cumplir de otro modo nuestras obligaciones en virtud del Contrato.
11.2 Usted acepta que los Datos del Cliente podrán ser transferidos o almacenados fuera del país en el que Usted y Sus clientes estén ubicados para llevar a cabo los Servicios y nuestras otras obligaciones en virtud del Contrato.
11.3 Usted declara y garantiza que ha obtenido todos los consentimientos necesarios para que podamos recopilar, acceder, procesar, almacenar, transmitir y utilizar de cualquier otro modo los Datos del Cliente de conformidad con el Contrato.
Deberá cumplir con todos los requisitos de integridad, calidad, legalidad y otros aspectos similares con respecto a los Datos del Cliente. Podemos, pero no estar obligado a, revisar o supervisar Datos de clientes. Renunciamos expresamente a cualquier obligación de revisar o determinar la legalidad, exactitud o integridad de los Datos del Cliente.
11.4 Hemos desarrollado y conservaremos un programa de privacidad diseñado para respetar y proteger los Datos del Cliente bajo nuestro control. No alquilaremos ni venderemos ningún Dato del Cliente.
11.5 Podemos utilizar datos e información relacionada con el rendimiento, funcionamiento y uso de los Servicios en la nube para crear análisis estadísticos, realizar comparaciones, realizar investigaciones y desarrollo y realizar otras actividades similares (“Mejoras de servicio”). No incorporaremos Datos del Cliente en Mejoras de Servicio en un formulario que pudiera identificarle a Usted o a Sus Clientes. Genesys utilizará técnicas de la industria estándar para anonimizar los Datos del Cliente antes de realizar Mejoras del Servicio a menos que Usted consiente lo contrario. Los Datos del Cliente, en todo momento, estarán sujetos a los controles de seguridad establecidos en estas Genesys Cloud Condiciones de Seguridad. El Proveedor de servicios conserva todos los derechos de propiedad intelectual en Mejoras de servicio y puede hacer que estén disponibles públicamente.
12 Definiciones
A efectos de estos Genesys Cloud Términos de seguridad, los siguientes términos definidos tendrán el significado que se establece a continuación.
Datos del cliente: su información e información privada sobre sus clientes (incluidos los Datos personales) enviados a través de los Servicios en la nube por Usted o Sus Usuarios. Los datos del cliente no incluyen mejoras de servicio definidas en 9.
Centro de datos: un centro de datos donde alojamos el entorno de servicios Genesys Cloud.
Estándar(s) de la industria: las prácticas de cloud seguridad de la información generalmente aceptadas como se refleja en las políticas y procedimientos de Genesys.
Datos personales: cualquier información relacionada con sus clientes que esté protegida por la legislación de privacidad aplicable.
Genesys Cloud Servicios: Nuestros servicios exclusivos de Genesys Cloud según se pone a su disposición en el entorno de servicios en la nube.
Genesys Cloud Entorno de servicios: la infraestructura controlada Genesys, incluidos equipos, servidores y software, dentro de Centros de datos utilizados para proporcionar los servicios Genesys Cloud.
Usuario: Una persona que (i) está autorizada por Usted y ha recibido una identificación usuario y contraseña(s) por Usted para acceder a los Servicios en la nube en Su nombre.
| Fecha | Revisión |
|---|---|
| 13 de agosto de 2019 | Política actualizada. |
| 07 de agosto de 2019 | Tabla actualizada de la sección 8 para nuevas certificaciones ISO. |
| 22 de julio de 2019 | Política actualizada. Se ha añadido una nueva sección de definiciones. |
| 20 de marzo de 2019 | Se ha añadido la tabla de historial de revisiones. |
| 21 de febrero de 2019 | Política actualizada. |
