Las siguientes medidas mínimas de seguridad reflejan una línea de base de controles de seguridad en todo el entorno de Genesys y los datos que son gestionados por Genesys para los servicios que están fuera del alcance de nuestro programa de certificación de Genesys Cloud (por ejemplo, HIPAA, ISO27001, ISO27018, PCI, SOC2). Cada uno de los subprocesadores aplica controles, auditorías y certificaciones para los datos una vez que están bajo su control.

Controles mínimos de seguridad de Genesys

El presente apéndice describe los requisitos mínimos de seguridad generalmente aplicables al uso de los Servicios de Genesys por parte del Cliente. Los controles adicionales para servicios o módulos específicos se pueden encontrar en el acuerdo de licencia o el contrato marco aplicable. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el encargado del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Por lo tanto, el procesador utilizará las medidas técnicas, organizativas y de seguridad necesarias y razonables, diseñadas para proteger los datos personales del cliente en posesión del procesador o procesados de otro modo por el procesador contra el acceso, la alteración, la divulgación o la destrucción no autorizados, como se describe con más detalle en este apéndice:

1. Programa de seguridad

Genesys ha implementado y mantendrá un programa de seguridad de la información que sigue los principios de seguridad del sistema generalmente aceptados y plasmados en la norma SOC-2, diseñado para proteger los Datos del Cliente según la naturaleza y el alcance de los Servicios prestados. El programa de seguridad de la información incluye al menos los siguientes elementos:

a. Sensibilización y formación en materia de seguridad

Genesys ha implementado y mantendrá un programa de seguridad y concienciación de la información que se imparte a los empleados y a los contratistas apropiados en el momento de la contratación o del inicio del contrato y, posteriormente, cada año. El programa de sensibilización se imparte por vía electrónica e incluye un aspecto de prueba con requisitos mínimos para aprobar. Además, los miembros del personal de desarrollo reciben formación sobre desarrollo de código seguro.

b. Políticas y procedimientos

Genesys mantiene políticas y procedimientos para apoyar el programa de seguridad de la información. Dichas políticas y procedimientos se revisan anualmente y se actualizan si es necesario.

c. Prevención de malware

Genesys utiliza las prácticas estándar de la industria para evitar la inclusión de cualquier programa, rutina, subrutina o datos (incluyendo software malicioso o "malware", virus, gusanos y caballos de Troya) en las aplicaciones que se ejecutan dentro de los servicios de Genesys.

2. Seguridad de la red

Genesys empleará controles eficaces de seguridad de la red basados en las normas del sector para garantizar la protección de los datos del cliente.

3. Control de acceso de los usuarios

Genesys implementará los controles de acceso adecuados para garantizar que sólo los usuarios autorizados tengan acceso a los Datos del Cliente.

4. Continuidad de la actividad y recuperación de desastres

Genesys mantendrá un plan de continuidad del negocio corporativo diseñado para garantizar la continuidad de los servicios de supervisión y apoyo en caso de que se produzca un evento de interrupción que afecte al entorno corporativo.

5. Respuesta a incidentes de seguridad

Genesys mantiene un programa de respuesta a incidentes de seguridad basado en los estándares de la industria, diseñado para identificar y responder a incidentes de seguridad presuntos y reales que involucren datos de clientes. El programa se revisará, probará y, si es necesario, se actualizará al menos una vez al año. "Incidente de Seguridad" significa un evento confirmado que resulta en el uso, borrado, modificación, divulgación o acceso no autorizado a los Datos del Cliente.

Fecha Revisión
9 de agosto de 2022 Artículo creado.