Normas de seguridad, privacidad e IA compatibles
Genesys Cloud es compatible con diversas prácticas y controles operativos de seguridad, privacidad e IA estándar del sector. Está certificado para cumplir los requisitos de varias normas específicas del sector que se enumeran a continuación:
| Estándares / certificaciones de la industria | Soporte de Genesys Cloud | Región | Descripción |
|---|---|---|---|
| PCI DSS | sí | Global | Normas de seguridad de datos del sector de las tarjetas de pago. PCI DSS es la norma mundialmente reconocida para las políticas de seguridad, las tecnologías y los procesos continuos que protegen los sistemas de pago de las infracciones y el robo de datos de los titulares de tarjetas. |
| SOC 1 Tipo 2 | sí | Global | SOC 1 Tipo 2 es un informe independiente sobre la descripción de la dirección de la plataforma Genesys Cloud CX y sobre la idoneidad del diseño y la eficacia operativa de los controles de acuerdo con SSAE 18. Los informes SOC 1 se refieren principalmente a los controles relevantes para la información financiera de los clientes. |
| SOC 2 Tipo 2 | sí | Global | SOC 2 Tipo 2 es un informe independiente sobre la descripción de la plataforma Genesys Cloud CX y sobre la idoneidad del diseño y la eficacia operativa de sus controles relevantes para la seguridad, disponibilidad e integridad, de conformidad con el examen SOC 2 Tipo 2 según la norma ISAE 3000. |
| ISO 27001:2022 | sí | Global ** | ISO 27001:2022 es una norma mundialmente reconocida para un sistema de gestión de la seguridad de la información (SGSI). La obtención de la certificación demuestra la aplicación de los principios del SGSI, así como la aplicación de los controles de la norma ISO 27002:2013 para asegurar y proteger los datos de la organización en el ámbito de la certificación. |
| ISO 27017:2015 | sí | Global ** | La norma ISO 27017:2015 amplía los controles de seguridad de la norma ISO 27002:2013 a los entornos en la nube. En el caso de Genesys Cloud CX, se consigue junto con la norma ISO 27001, que implica la verificación externa de que los controles se gestionan, mantienen y aplican adecuadamente. |
| ISO 27018:2019 | sí | Global ** | SO 27018:2019 es la extensión de la certificación ISO 27001:2013 reconocida mundialmente para la privacidad en la nube. La obtención de la certificación de extensión demuestra la aplicación de los controles de la norma ISO 27002:2013 para proteger la información de identificación personal (PII)/datos de privacidad en la nube. |
| sí | Global | ISO/IEC 42001:2023 es una norma reconocida mundialmente que especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Inteligencia Artificial (AIMS) dentro de las organizaciones. La obtención de la certificación demuestra la aplicación de los principios AIMS, así como la aplicación de los controles de la norma ISO 42001:2023 para garantizar el desarrollo y uso responsables de los sistemas de IA. | |
| CSA CAIQ | sí | Global * | CAIQ es una forma aceptada por la industria para documentar qué controles de seguridad existen en nuestras soluciones SaaS, proporcionando transparencia de control de seguridad a través del cumplimiento de la Matriz de Controles de Nube. |
| C5 | sí | EMEA | El catálogo de criterios de cumplimiento de la computación en nube (C5) define un nivel de seguridad básico para la computación en nube. Lo utilizan proveedores profesionales de servicios en la nube, auditores y clientes de la nube. |
| HIPAA | sí | Américas | El cumplimiento de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) demuestra, mediante la eficacia de los controles de seguridad, que la información sanitaria está asegurada y protegida. |
| HITRUST | sí | América ** | Health Information Trust Alliance (HITRUST) garantiza a las partes interesadas internas y externas el estado actual de la seguridad y el cumplimiento de la información, y Genesys Cloud CX proporciona una mayor garantía mediante la obtención de la evaluación de dos años "estándar de oro" validada externamente. |
| CCPA | sí | América ** | La Ley de Protección de los Consumidores de California (CCPA) es una ley estatal destinada a mejorar los derechos de privacidad y la protección de los consumidores residentes en California (Estados Unidos). |
| LGPD | sí | América ** | La Ley General de Protección de Datos ("LGPD") es la principal norma brasileña de protección de datos personales. La LGPD (Lei Geral de Proteção de Dados) se diseñó de conformidad con el GDPR de la UE. |
| FedRAMP | América (sólo US-East-2) |
El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) proporciona un enfoque estandarizado de las autorizaciones de seguridad para las ofertas de servicios en la nube. Genesys Cloud está autorizado por FedRAMP en el nivel de impacto moderado. |
|
| Cyber Essentials Plus | sí | EMEA | Cyber Essentials Plus es una auditoría técnica de la plataforma Genesys Cloud CX™ con respecto a los controles de la norma Cyber Essentials. Cyber Essentials Scheme es "un plan eficaz, respaldado por el Gobierno (británico), que le ayudará a proteger su organización, sea cual sea su tamaño, contra toda una serie de los ciberataques más comunes". |
| GDPR | sí | EMEA | El Reglamento General de Protección de Datos (RGPD) es una ley de protección de datos que regula el uso de los datos personales de los residentes en la UE y otorga a las personas derechos para ejercer el control sobre sus datos. |
| ACN | sí | EMEA | La Agencia Nacional de Ciberseguridad (ACN) es la autoridad nacional de ciberseguridad para la protección de los intereses nacionales en el ámbito de la ciberseguridad. La Agencia es responsable de salvaguardar la seguridad y la resistencia en el ciberespacio. Se encarga de prevenir y mitigar el mayor número posible de ciberataques y de promover la consecución de la autonomía tecnológica. Entre las principales tareas de la agencia está la aplicación de la Estrategia Nacional de Ciberseguridad, adoptada por el Presidente del Consejo de Ministros, que contiene los objetivos que deben perseguirse de aquí a 2026. |
| HDS | sí | EMEA | Introducida por la agencia gubernamental francesa para la salud, "Agence du Numérique en Santé" (ANS), la certificación "Hébergeur de Données de Santé" (HDS) impone requisitos avanzados de seguridad y privacidad a los servicios de alojamiento y proveedores de nube para garantizar que la confidencialidad y la integridad de los datos sensibles están adecuadamente protegidas. |
| IRAP (Australia) | sí | APAC | El Infosec Registered Assessors Program (IRAP) ofrece un proceso completo para la evaluación independiente de la seguridad de un sistema con respecto a los requisitos del Manual de Seguridad de la Información (ISM) del Gobierno australiano. El objetivo del IRAP es maximizar la seguridad de los datos de la administración federal, estatal y local australiana centrándose en la infraestructura de tecnologías de la información y la comunicación (TIC) destinada al almacenamiento, procesamiento y comunicación de datos. El ISM se ha desarrollado con el principio de proporcionar a los organismos del Gobierno australiano una base de referencia de los riesgos y controles genéricos asociados al almacenamiento y tratamiento de información clasificada y sensible desde el punto de vista de la seguridad.
Se ha completado una evaluación IRAP para Genesys Cloud CX hasta el nivel PROTEGIDO inclusive. |
| TX-RAMP | sí | América (sólo US-East-2) |
TX-RAMP es el marco del Departamento de Recursos de Información de Texas (DIR) para recopilar información sobre la postura de seguridad de los servicios en la nube y evaluar las respuestas en cuanto al cumplimiento de los controles y la documentación requeridos. Los requisitos de TX-RAMP se aplican a las agencias del Estado de Texas, instituciones de educación superior y colegios comunitarios públicos. Genesys Cloud CX ha obtenido la certificación TX-RAMP de nivel 2. |
| DoD Nivel de impacto 2 (IL2) | sí | América (sólo US-East-2) |
Los clientes del DoD están obligados a cumplir estos requisitos. La Agencia de Sistemas de Información de Defensa (DISA) ha concedido a Genesys Cloud CX una Autorización Provisional (PA) para el Nivel de Impacto 2 (IL2) del DoD aprovechando la Autorización Moderada FedRAMP de Genesys. IL2 es para información no clasificada no controlada (no CUI), que incluye todos los datos autorizados para su divulgación pública, así como cierta información privada no clasificada del DoD no designada como CUI o datos de misión crítica que requieren un nivel mínimo de control de acceso. |
| UE-EE.UU. Marco de protección de datos | sí | EE.UU. y EMEA |
El Marco de Privacidad de Datos UE-Estados Unidos, desarrollado por el Departamento de Comercio de Estados Unidos y la Comisión Europea, permite a las organizaciones estadounidenses establecer mecanismos fiables para transferir datos personales de la Unión Europea a Estados Unidos. Esta certificación garantiza una protección de datos acorde con la legislación de la UE, el Reino Unido y Suiza. |
| ENS | sí | EMEA |
El Esquema Nacional de Seguridad (ENS) se elaboró por primera vez en 2010 y se actualizó por última vez en 2022 (Real Decreto 311/2022). El sistema de acreditación ENS ha sido desarrollado por la Entidad Nacional de Acreditación (ENAC) en estrecha colaboración con el Ministerio de Hacienda y Administraciones Públicas y el CCN (Centro Criptológico Nacional). Esta certificación es aplicable a todo el Sector Público Español y proveedores colaboradores. Garantiza la protección adecuada de la información y los servicios, en consonancia con los principios básicos, los requisitos y las medidas de seguridad del marco del ENS. |
| GovRAMP | sí | América (sólo US-East-2) |
GovRAMP es un programa para todos los niveles de la Administración (incluidas las instituciones estatales, locales, tribales y educativas) que ofrece un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. Estar autorizado por GovRAMP significa que un sistema en la nube cuenta con un entorno establecido y altamente seguro que ha superado una exhaustiva revisión de auditoría antes de que las organizaciones estén autorizadas a utilizar el sistema. Genesys Cloud está autorizada por GovRAMP en el nivel de impacto moderado. |
|
NIST SP 800-171 |
sí | América (sólo US-East-2) |
La Publicación Especial 800-171 del NIST define los requisitos de seguridad para proteger la Información No Clasificada Controlada (CUI) en sistemas y organizaciones no federales. Describe las prácticas en las que se basan los organismos federales a la hora de establecer obligaciones contractuales o reglamentarias para salvaguardar la CUI. Genesys Cloud apoya a los clientes con cargas de trabajo sujetas a NIST SP 800-171 alineándose con los requisitos de confidencialidad de la norma como parte de su marco más amplio de seguridad y cumplimiento. |
|
NIST SP 800-53 Línea de base del control de la privacidad |
sí | América (sólo US-East-2) |
NIST SP 800-53 establece un amplio conjunto de controles de privacidad para garantizar el tratamiento responsable de la información de identificación personal (PII) en todos los sistemas de información federales. La base de datos de control de la privacidad ayuda a las organizaciones a controlar cómo se recopila, utiliza, almacena, comparte y elimina la información de identificación personal de acuerdo con los requisitos legales y normativos. Genesys Cloud apoya a los clientes que necesitan alinearse con la línea de base de control de la privacidad NIST SP 800-53 mediante la integración de la gobernanza de la privacidad, la gestión de riesgos y las salvaguardas centradas en el ciclo de vida en su programa global de seguridad y cumplimiento. |
|
Publicación 1075 del IRS |
sí | América (sólo US-East-2) |
La Publicación 1075 del IRS proporciona orientación a las agencias gubernamentales de EE.UU. y a sus agentes sobre la protección de la Información Fiscal Federal (FTI). Aunque el IRS no emite una certificación formal para el cumplimiento de la Pub 1075, Genesys Cloud permite a los clientes y socios gubernamentales salvaguardar la FTI dentro de un entorno seguro, autorizado por FedRAMP y alineado con los controles NIST SP 800-53. El cumplimiento de la IRS Pub 1075 es establecido por el IRS a través de las presentaciones de la agencia. Genesys Cloud no puede ser "conforme con la IRS Pub 1075" de forma independiente, ni puede presentarla en nombre de una agencia. En su lugar, el cumplimiento sigue un modelo de responsabilidad compartida:
|
- * Hoja de ruta para US-East-2 (región FedRAMP)
- ** No disponible en US-East-2 (región FedRAMP)
