Descripción general de datos y seguridad
Este documento es una descripción general de las políticas de seguridad y protección de datos de Purple, destinado a responder las preguntas más frecuentes de los clientes de forma transparente y fácil de usar.
Datos y seguridad de datos
Datos en tránsito
Todos los portales y sitios web públicos están cifrados con TLS ( Seguridad de la capa de transporte ).TLS es la tecnología de seguridad estándar para establecer un enlace cifrado entre un servidor web y un navegador.Este enlace garantiza que todos los datos transmitidos entre el servidor web y los navegadores permanezcan privados e integrales. Purple soporta TLS 1.2.
Purple revisa regularmente los cifrados TLS ofrecidos y elimina los cifrados que ya no se consideran que cumplen con los requisitos mínimos de seguridad.
Datos en reposo
Todos los datos alojados en Purple se alojan en servicios en la nube como Google Cloud (GCP) o Amazon Web Services (AWS), y todos los discos que alojan datos están encriptados (AES-256) mediante los controles de seguridad disponibles con esos proveedores en la nube.
Todas las contraseñas están cifradas con la función de hashing bcrypt.
Protección de datos
Purple aloja y maneja datos de una manera consistente con los estándares de las regulaciones GDPR de la UE.
Todos los propósitos y derechos de los datos se explican de manera clara y transparente al usuario final en el EULA y la política de privacidad de Purple, que se presentan en términos concisos y fáciles de usar.
Se solicita la participación activa por separado para todos los consentimientos de comercialización dentro de la UE y según lo activado por los clientes en cualquier otro lugar, y cualquier EULA o consentimiento de suscripción se almacena contra el usuario y el lugar con la fecha, la hora y el idioma de la suscripción. Una vez que un usuario ha iniciado sesión, se le envía un enlace a un perfil de usuario final donde puede ver los datos guardados sobre ellos mismos, ver (y modificar) cualquier consentimiento de suscripción y eliminar inmediatamente todos los datos recopilados sobre ellos.
Además, los usuarios pueden enviar un correo electrónico al Oficial de Protección de Datos de Purple (a través de una dirección de correo electrónico que se muestra claramente) con cualquier consulta, para cualquier cambio en sus datos o para ejercer su derecho a ser olvidado.
Los datos solo se utilizan para los fines indicados, y Purple no recopila más datos de los que son estrictamente necesarios (aunque los clientes individuales deciden sus propios usos de datos y configuran el portal para recopilar la información requerida por ellos mismos, así como la carga de sus propios EULA adicionales y políticas de privacidad donde se requiera, cuyo consentimiento se rastrea de forma individual).
Purple tiene un período de retención de datos declarado de 13 meses de inactividad, después de lo cual se destruyen todos los datos de PII sobre un cliente.
Portal cautivo
El portal cautivo es el mecanismo a través del cual los usuarios aceptan los términos de uso de Purple, proporcionan cualquier información de autenticación que el cliente requiera antes de permitir el acceso a WiFi, y dan su consentimiento a cualquier marketing.
Cuando un usuario se une a un SSID de Purple y llega a la página de inicio, se almacenan la dirección MAC de su dispositivo y el agente de usuario, así como el MAC de AP (y, por lo tanto, el lugar donde se encuentra el usuario). Cuando un usuario inicia sesión a través del WiFi, cualquier dato de usuario que proporcionan también se almacena contra su perfil.La información exacta recopilada varía según el método de inicio de sesión elegido y la configuración creada por el cliente, pero puede incluir información de identificación personal (PII; consulte la sección de PII a continuación), así como otra información potencialmente confidencial, como los “me gusta” de Facebook de un usuario. Estos datos son enviados por el usuario a través del formulario web o transferidos desde su cuenta de redes sociales si otorgan acceso. Los datos en tránsito a través del portal cautivo siempre se protegen a través de TLS, y todos los datos recopilados se almacenan inicialmente de forma local en el software del portal cautivo en un almacén de documentos.
Una vez que un usuario está conectado, los datos de contabilidad de RADIUS deben pasarse desde el controlador de red a los servidores RADIUS de Purple, proporcionando parámetros básicos de uso de la red: la hora en que comenzó la sesión, la razón por la que finalizó la sesión y la carga y descarga de datos.
Datos de DNS
Si lo configura el cliente, Purple también puede recopilar datos de búsqueda de dominio a través de una empresa externa, WebTitan, mediante el uso de los propios servidores DNS de WebTitan (el mismo mecanismo para bloquear el acceso a sitios web prohibidos). Las búsquedas de dominio se registran en la dirección IP del sitio y no se pueden rastrear a un usuario o dispositivo individual.
Servicios basados en la ubicación
Los datos de ubicación son datos recopilados de forma pasiva sobre dispositivos (tanto autenticados como no autenticados) por puntos de acceso de red compatibles. Normalmente, un AP registra un valor de indicación de intensidad de señal recibida (RSSI), una dirección MAC (que puede ser aleatoria, dependiendo del software del cliente) y una fecha/hora para cada sonda WiFi del cliente. Con el hardware correcto y 4 o más puntos de acceso, estos datos pueden mejorarse a una coordenada geométrica estimada del dispositivo en relación con el plano de distribución cargado.
Cuando se reconoce que un MAC de un cliente ha iniciado sesión a través de Purple en el pasado, algunos datos demográficos pueden estar asociados con los registros de datos de ubicación (género, edad).Cuando un usuario haya iniciado sesión en este lugar antes y haya aceptado los Términos y Condiciones (T&C, por sus siglas en inglés) del lugar, se vinculará un dispositivo reconocido con el registro del usuario, independientemente de si el usuario está actualmente autenticado en el WiFi.
Purple son partidarios voluntarios del Future of Privacy Forum (fpf.org), a través del cual un usuario puede optar por no recibir el seguimiento de MAC de cliente en una amplia gama de servicios.
Purple no almacena datos sobre direcciones MAC aleatorias (dispositivos como los iPhones modernos que no presentan sus verdaderas direcciones MAC hasta que se autentican en el WiFi), y las direcciones MAC anónimas (direcciones que no se han autenticado en el WiFi) están identificadas en un solo sentido con una sal específica de la empresa en la exportación para evitar compartir datos sobre dispositivos anónimos y comparaciones con fuentes de datos de terceros.
Conectores
Los clientes pueden configurar “Conectores”, que son integraciones de terceros que copian datos dentro o fuera del alojamiento de Purple. Esta información suele ser información básica de CRM sobre usuarios finales (p. ej., los nombres y las direcciones de correo electrónico que se exportan a listas de correo electrónico de terceros, en cuentas administradas por la misma empresa).
Los datos de conexión/sesión del conector se almacenan encriptados.
API
Existe una API RESTful para extraer la mayoría de los datos del usuario final en formato sin procesar. El acceso a este servicio es a través de claves públicas/privadas firmadas, proporcionadas a pedido por el equipo de soporte de Purple una vez que se hayan verificado los derechos de los clientes a los datos. El acceso a las API de Purple se encripta en tránsito mediante HTTPS, y los pedidos se firman con un nonce para evitar ataques de reproducción, y existe un registro de auditoría completo de todas las solicitudes, incluida la IP de origen de las solicitudes.
Webhooks
Los usuarios también pueden definir Webhooks que activan la exportación de datos en ciertas acciones (por ejemplo, un usuario que ingresa al WiFi) a través de una POST HTTPS a un punto final definido por el usuario, lo que permite respuestas en tiempo real a los eventos. Estos puntos finales deben ser HTTPS con un certificado válido y se verifican por el encabezado.
Información de identificación personal (PII)
Dependiendo de la configuración del cliente de su portal cautivo y del método de acceso elegido por el usuario final, Purple puede capturar y almacenar los siguientes datos clasificados por Purple como PII: nombre, apellido, fecha de nacimiento, dirección de correo electrónico, número de teléfono móvil , y una identificación de usuario social (p. ej., ID de Facebook ) .Además, Purple puede recopilar otros datos que se catalogan como de identificación personal potencial cuando se combinan con otros datos: MAC de cliente/dispositivo, género, fecha/hora de inicio de sesión, los “me gusta” de Facebook, ubicación/ciudad natal de Facebook/Twitter, código postal.
Los datos de PII se almacenan en tres ubicaciones: en el almacén de documentos de acceso (donde el usuario inicia sesión en el WiFi), en el almacén de datos de análisis central (donde se almacenan/procesan los datos) y en el almacén de documentos de perfil orientado al usuario final (donde los propios usuarios finales pueden revisar, modificar y borrar sus propios datos) .Está encriptado en las tres ubicaciones, como se detalla anteriormente.
Los datos se almacenan y se cifran en la empresa con la que el usuario ha compartido sus datos, lo que garantiza una separación lógica de los datos.
Cuando un usuario solicita ser olvidado o cuando un usuario ha estado inactivo el tiempo suficiente para cumplir con el final del período de retención de datos, todos los datos de PII se eliminan del registro del usuario y las sesiones del usuario se vuelven anónimas. Purple conserva información demográfica anónima básica: la edad y el género del usuario en el momento de iniciar sesión.
Es posible que los clientes agreguen campos de datos personalizados o preguntas de la encuesta para que el usuario los complete, lo que puede incluir otros datos de PII, como los documentos nacionales de identidad o los números de pasaporte. Todos los datos personalizados como este se tratan como PII.
Pagos
Purple no maneja ni almacena ningún dato financiero del usuario. Todos los pagos se realizan a través de una comunicación directa entre el usuario final y nuestro proveedor de pasarela de pago “Stripe” (www.stripe.com). Stripe es totalmente compatible con PCI-DSS.Purple registra solo una ID de transacción por única vez para posibles reembolsos.
Conformidad ISO
Purple es compatible tanto con la norma ISO 9001 para la práctica comercial como con la norma ISO 27001 para la seguridad y el almacenamiento de datos. El negocio es auditado anualmente por una empresa de terceros acreditada para verificar que seguimos cumpliendo con los requisitos. Esto se suma a nuestras propias auditorías interinas y revisiones de la gerencia.La certificación puede ser suministrada a pedido.
Soberanía de datos
Todos los datos recopilados por la plataforma Purple residen en una de las tres ubicaciones de hospedaje de GCP , dependiendo de la ubicación del cliente en el mundo, son las siguientes:
- California para América del Norte y del Sur.
- Londres y Amsterdam para Europa, África y Medio Oriente.
- Singapur para APAC, APJ, ASEAN y ANZ.
Purple cumple con los requisitos de privacidad/almacenamiento de datos regionales donde se implementa, para conservar los datos dentro de los límites geográficos determinados por la legislación local.
Retención de datos
Todos los datos de los usuarios se anonimizan después de un período de 13 meses de inactividad.Esto significa que Purple almacenará los datos personales de un usuario, en su forma completa, durante al menos 13 meses, y luego de 13 meses de inactividad (sin volver a iniciar sesión en el WiFi) eliminamos todo lo que se considere información de identificación personal. Esto incluye nombre, correo electrónico, número de teléfono, etc. Sin embargo, mantenemos información no identificable, como por ejemplo, edad y género en el momento del inicio de sesión, y metadatos de sesión como el tiempo de inicio de sesión , el uso de datos de la red y el método de conexión utilizado.
Purple puede descartar los datos en bruto antes.Por ejemplo, los registros de datos de ubicación individuales de los servicios de ubicación pueden eliminarse después de 24 horas, pero se mantendrá un registro agregado de cuándo estuvo presente el dispositivo en un plano de distribución y qué zonas se visitaron.
Almacenamiento de datos y respaldo
Todas nuestras bases de datos se replican en una instancia secundaria en una Zona diferente. La replicación es en tiempo real. En el caso de un mantenimiento planificado de la base de datos, una falla en la instancia de la base de datos o una falla de la Zona, el servicio en la nube afectado (por ejemplo, Amazon RDS o Google CloudSQL) realizará una conmutación por error automática al modo de espera.Esto significa que no tenemos un solo punto de falla.
Purple ejecuta instantáneas diarias en todas las bases de datos, lo que significa que tenemos la capacidad de restaurar nuestra base de datos rápidamente si es necesario.
Propiedad de los datos
El cliente tendrá plena propiedad y acceso a los datos de usuario final, y contrata a Purple como procesador de datos para proporcionar la solución. Los datos se alojan dentro de la región en la que se recopilan; por ejemplo, los clientes en América del Norte tendrán sus datos alojados en la nube de EE. UU.
Componentes de la aplicación
Portal cautivo
Cuando un usuario se conecta a un SSID, será redirigido a una página de bienvenida del portal cautivo alojada por Purple. Esta página de inicio es configurable por los clientes de Purple y presentará al usuario uno o más métodos de acceso (por ejemplo, un formulario de registro o inicio de sesión en redes sociales como Facebook). Al elegir un método de acceso, al usuario se le presentará una ventana emergente de T&C que debe aceptar para continuar. Esta ventana emergente contiene enlaces a los términos de uso, política de privacidad y cualquier término definido por el usuario de Purple.Al rechazar los términos, el usuario volverá a la página de inicio. Al aceptar los términos, el usuario completará el formulario u otorgará acceso a Purple OAuth a través de una plataforma de redes sociales. Luego, Purple autorizará al usuario en nuestro servidor RADIUS y redirigirá al usuario al controlador de red, que liberará al usuario del portal cautivo para que pueda acceder a Internet más amplio.
Las páginas de inicio cautivas del portal se alojan en nodos de acceso, que es una aplicación PHP de escalamiento elástica respaldada por una base de datos NoSQL de escala. El contenido estático se sirve desde Amazon Cloudfront.
Nuestros servidores RADIUS son servidores FreeRADIUS que almacenan datos en una base de datos GCP Cloud SQL.
Recopilación de datos de presencia/ubicación
Los servicios basados en la ubicación, como Cisco MSE, Ruckus SPOT o Meraki Cloud se pueden usar con el producto. Éstos recopilan las direcciones MAC de los dispositivos habilitados para WiFi dentro del alcance de los puntos de acceso de la red y proporcionan información RSSI básica (que se puede usar para estimar la distancia desde el punto de acceso para derivar el paso, el tiempo de permanencia, la conversión y las estadísticas de tasa de rebote) o las coordenadas X/Y estimadas que se pueden usar para ubicar a un usuario en un mapa y rastrear las rutas que un usuario toma alrededor de un lugar. Los datos de ubicación se pueden vincular a usuarios WiFi conocidos a través de la dirección MAC.
Portal del Cliente
El portal es la aplicación en la que los revendedores y clientes administran sus licencias, la infraestructura y los informes de vista. El acceso a esta aplicación está controlado por nombre de usuario y contraseña. A las cuentas de usuario se les pueden otorgar derechos granulares (acceso de lectura o escritura a muchas secciones individuales del portal) y se asignan jerárquicamente (por ejemplo, con derechos a un solo lugar, un grupo de lugares, una compañía completa o un revendedor completo, etc.). Los derechos de plataforma son otorgados por usuarios individuales, y un usuario no puede otorgar o revocar derechos más allá de su propio alcance.
Cuando se crea un nuevo usuario del portal, se les envía un nombre de usuario (correo electrónico) y una contraseña generada aleatoriamente en formato de correo electrónico. Al iniciar sesión por primera vez, se les pide que cambien esta contraseña a una de su elección, que debe tener más de 8 caracteres y contener tanto números como letras mayúsculas. El usuario debe cambiar su contraseña cada 90 días y no se les permite reutilizar ninguna contraseña de los últimos 12 meses.
Radius
Todo el tráfico a nuestro servidor Radius debe ser autenticado con un ID de estación llamada y una contraseña. Sin este tráfico se le niega el acceso. Para mayor seguridad, también se crea una contraseña única y, una vez que se usa, se descarta y no se puede volver a utilizar.
Gerencia, procedimientos y políticas de personal
Acceso del personal
El acceso al sistema de Purple dentro de GCP está estrictamente limitado a los miembros clave del personal, que se revisa periódicamente para garantizar que solo el personal apropiado tenga cuentas.
Los contratistas y las empresas de subcontratación se contratan ocasionalmente para realizar trabajos de desarrollo en áreas nuevas. El acceso a datos en vivo, servidores o servicios y el código existente está estrictamente prohibido, y todo el código producido está sujeto a la misma revisión por colegas que cualquier código creado por nuestro equipo interno.
Los roles de acceso del personal están claramente definidos y se revisan trimestralmente y en función del cambio de contrato. El acceso a los datos y las aplicaciones se establece con la menor cantidad de privilegios, ya que solo se les otorga a los usuarios el acceso a lo que necesitan para cumplir su función durante el tiempo que lo necesiten. El personal tiene derechos de acceso mínimos durante su período de prueba de tres meses, y los no empleados (por ejemplo, contratistas) no tienen acceso a ningún dato de los clientes, servicios en vivo o repositorios de códigos.
Los procedimientos de desarrollo y prueba están claramente definidos en nuestra política de desarrollo seguro. Todo el código se envía a través de una solicitud de extracción y es revisado por colegas del equipo y por al menos dos desarrolladores senior antes de fusionarse. Luego pasa por el proceso de pruebas de regresión con nuestro equipo de control de calidad que crea y mantiene hojas de prueba estandarizadas. Las pruebas unitarias se utilizan en todo el código base, y se alienta el desarrollo basado en pruebas. La UAT se puede llevar a cabo con socios seleccionados antes del lanzamiento de nuevas funciones de gran tamaño en forma de betas/versiones de prueba.
Lanzamientos
Las implementaciones se realizan al menos semanalmente para el mantenimiento general y las correcciones de errores se implementan según sea necesario. Las versiones grandes siguen un calendario de despliegue trimestral. Todas las implementaciones se realizan a través de la plataforma de prueba de Purple para la aprobación final de nuestro equipo de control de calidad.
GEstión de vulnerabilidad/amenazas
Purple realiza mensualmente pruebas automatizadas de análisis de vulnerabilidad/amenaza de todas nuestras aplicaciones e infraestructura, y en cada cambio significativo (versiones de código grandes, cambios de infraestructura/arquitectura o después de actualizaciones de software). Los parches de software se aplican al menos semanalmente. Si se encuentra una vulnerabilidad durante estas pruebas, se evaluará la amenaza para determinar el nivel de impacto y se reparará de inmediato si se considera necesario o si la solución se incluye en la próxima versión.
Nuestro socio de seguridad realiza una prueba/auditoría de penetración de un tercero completa según sea necesario y al menos una vez al año.
Respuesta a incidentes
Como parte de la certificación ISO 27001 de Purple, implementamos una Política de informes de incidentes de seguridad que brinda al personal pautas claras para proteger la integridad de los datos recopilados por Purple. Esto garantiza que los incidentes de seguridad, o incidentes potenciales, se identifiquen, se informen al Gerente de Seguridad de la Información/Oficial de Protección de Datos y se resuelvan de manera adecuada a la urgencia y el impacto de la violación.
Purple mantiene una lista de contactos de protección de datos en todos los clientes, y estos clientes reciben una notificación tan pronto como sea razonablemente posible sobre cualquier incumplimiento que los afecte.
Despido del personal
Purple tiene un procedimiento claro para la terminación de personal. Las solicitudes para eliminar el acceso a los sistemas y recuperar el hardware se registran como solicitudes de cambio en la mesa de servicio interna.
- Descripción general de datos y seguridad
- Created on 08 junio 2023
- Última actualización en 19 diciembre 2023