Wayfinding de datos y seguridad
Este documento ofrece una descripción general de las políticas de protección de datos y seguridad de Wayfinding de Purple, destinada a responder las preguntas más frecuentes de los clientes de una manera transparente y fácil de entender.
Datos en tránsito
Todos los portales y sitios web públicos están encriptados con TLS (Transport Layer Security). TLS es la tecnología de seguridad estándar para establecer un enlace encriptado entre un servidor web y un navegador. Este enlace garantiza que todos los datos transmitidos entre el servidor web y los navegadores permanezcan privados e integrales. Purple soporta TLS 1.2 como mínimo.
Purple revisa regularmente los cifrados TLS que se ofrecen de acuerdo con la guía del NIST y elimina los cifrados que ya no se considera que cumplan con los requisitos mínimos de seguridad.
Datos en reposo
Todos los datos alojados por Purple están alojados en Microsoft Azure, nuestro proveedor de servicios en la nube compatible con SOC, y todos los discos que alojan los datos están encriptados (AES-256) mediante los controles de seguridad disponibles con esos proveedores de la nube.
Todas las contraseñas están encriptadas con la función hash bcrypt, con una complejidad mínima que supera las pautas recomendadas actuales.
Protección de Datos
Purple aloja y maneja los datos en cumplimiento de los estándares de las regulaciones RGPD de la UE.
Todos los usos y derechos de los datos se explican de manera clara y transparente al usuario final en el EULA y la política de privacidad de Purple, que se presentan en términos concisos y fáciles de entender.
Los usuarios pueden enviar un correo electrónico al oficial de protección de datos de Purple (a través de dpo@purple.ai) para hacer consultas, modificar sus datos o ejercer su derecho al olvido.
Los datos solo se utilizan para los fines establecidos, y Purple no recopila más datos de los estrictamente necesarios (aunque los clientes individuales deciden sus propios usos de datos y configuran el portal para recopilar la información requerida por ellos mismos, así como para cargar sus propios EULA adicionales y políticas de privacidad cuando sean requeridas, cuyo consentimiento se rastrea individualmente).
Purple tiene un período de retención de datos declarado de 13 meses de inactividad, después del cual se destruye la información personal identificable (datos PII) de un cliente.
Captura de datos
La solución Wayfinding fue diseñada con el propósito de capturar la menor cantidad de datos posible. Con la excepción de la solución opcional de quiosco, con la que le damos al usuario final la capacidad de enviarse por correo electrónico sus indicaciones si así lo desea, no manejamos, almacenamos, transmitimos ni compartimos ningún dato personal del usuario final.
Los datos que recopilamos y usamos son la cantidad mínima necesaria para que la solución funcione. Esto se establece en la siguiente tabla.
Por defecto, toda la recopilación y el procesamiento de datos se realizan en el dispositivo cliente, y los datos solo se recopilan cuando un usuario envía una reseña (para fines de depuración). Estos datos se eliminan automáticamente después de 12 meses.
| TIPO DE DATOS | EJEMPLO | CATEGORIZACIÓN | RECOPILADO DESDE | USADO PARA |
|---|---|---|---|---|
| Dirección de correo electrónico | dan.smith@gmail.com | Personal | Solicitud del usuario | Envío de correos electrónicos que contengan el enlace personalizado desde el quiosco (opcional) |
| Dirección MAC Bluetooth del cliente (puede ser aleatoria, es decir, no es la dirección MAC wifi real del cliente) | 00-00-00-00-00-00 | Personal | Dispositivo móvil del cliente | Posicionamiento |
| Lugar / Empresa / Campus / Planta | Planta Baja, Edificio Principal | Interno | Dispositivo móvil del cliente | Posicionamiento |
| RSSI (indicador de intensidad de la señal recibida) | -50 | Interno | Dispositivo móvil del cliente | Posicionamiento |
| Coordenada X,Y (con marca de tiempo) | 200,34 | Confidencial del cliente | Dispositivo móvil del cliente | Posicionamiento |
Recopilación de datos del motor de posicionamiento de Wayfinding
| TIPO DE DATOS | EJEMPLO | CATEGORIZACIÓN | RECOPILADO DESDE | USADO PARA |
|---|---|---|---|---|
| Fabricante del dispositivo | Apple | Interno | Dispositivo móvil del cliente | Depurar |
| Modelo del dispositivo | iPhone | Interno | Dispositivo móvil del cliente | Depurar |
| Sistema operativo y versión del dispositivo | iOS v.15.6.1 | Interno | Dispositivo móvil del cliente | Depurar |
| Versión de la aplicación Wayfinding | v1.0 | Interno | Dispositivo móvil del cliente | Depurar |
| Versión del mapa Wayfinding | 2348 | Interno | Dispositivo móvil del cliente | Depurar |
| Señal wifi observada y RSSI | -50 | Interno | Dispositivo móvil del cliente | Depurar |
| Intensidad de la señal de la baliza BLE | -50 | Interno | Dispositivo móvil del cliente | Depurar |
| Datos del sensor del teléfono | Barómetro, Magnetómetro, Acelerómetro | Interno | Dispositivo móvil del cliente | Depurar |
Almacenamiento de datos
Las direcciones de correo electrónico no se almacenan en nuestra solución y solo se utilizan para el procesamiento. Se pueden almacenar otros datos con fines de depuración durante un período de hasta 12 meses.
Flujo de datos
Los datos entrantes al teléfono desde la nube son datos de mapas y respuestas de solicitudes web y se transmiten a través de https (TCP 443)
Los datos salientes también se transmiten a través de https (TCP 443) cuando el usuario completa su recorrido y envía una reseña; en ese momento, también se transmiten a la nube los metadatos del recorrido de regreso para fines de depuración, incluyendo las coordenadas el x/y, marca de tiempo y la dirección mac wifi del cliente como un identificador único (que el propio teléfono anonimiza). Los teléfonos también leen el estado de los servicios locales y lo publican en la nube de forma anónima (https/TCP 443)
Todos los demás datos corresponden al escaneo pasivo de información del teléfono (intensidad de la señal de la baliza BLE, redes wifi vistas (solo Android), datos del acelerómetro, barómetro y magnetómetro), pero todo ese procesamiento de datos se realiza en el teléfono y no sale del teléfono.
Información personal identificable e información de salud personal (PII y PHI)
Nuestra solución Wayfinding está diseñada con el propósito de no capturar información de identificación personal (PII) o información de salud personal (PHI), según lo definido por el RGPD y el HIPAA respectivamente.
La excepción a esto es nuestra solución de quiosco, una solución adicional opcional. Si eliges implementar nuestra solución de quiosco, se implementarán quioscos físicos en tu ubicación, en donde los usuarios finales pueden ingresar su dirección de correo electrónico para enviarse sus indicaciones.
Ten en cuenta que esta funcionalidad es opcional para clientes y usuarios finales, y los datos no se almacenan en nuestra solución. Nuestro proveedor de servicios de correo electrónico almacena la dirección de correo electrónico y los metadatos del correo electrónico durante un período de un mes con fines de depuración, tiempo tras el cual se eliminan automáticamente.
Además, Purple Wayfinding puede recopilar otros datos que se clasifican como potenciales identificadores personales cuando se combinan con otros datos: cliente/MAC del dispositivo, inicio y final del recorrido.
Pagos
Purple’s Wayfinding solution does not handle or store any user financial data.
Cumplimiento de normas ISOs
Purple como empresa cumple con las normas ISO 9001 para prácticas comerciales e ISO 27001, y está certificada para prácticas de seguridad de la información, y también cuenta con la certificación CyberEssentials+. Purple es auditado anualmente por empresas externas acreditadas para verificar que cumplimos con las normas. Esto se suma a nuestras propias auditorías intermedias internas y revisiones de gestión. La certificación se puede suministrar a pedido.
Soberanía de los datos
Todos los datos recopilados por la plataforma Purple Wayfinding residen en uno de los centros de datos de Azure de América del Norte. En general, estos se dividen de la siguiente manera:
- Illinois – Informes de Wayfinding y ambientes de producción
- California: ambientes de desarrollo
- Virginia: ambientes de pruebas y copias de seguridad
- Texas: datos de replicación geográfica
Purple cumple con los requisitos regionales de privacidad/almacenamiento de datos donde se implementan, para retener los datos dentro de los límites geográficos determinados por la legislación local.
Retención de datos
Ningún dato del usuario está vinculado a información personal identificable, ya que los datos se utilizan únicamente en forma agregada para monitorear el servicio y brindar mejoras y soporte. En general, Purple tiene un período de retención de datos de 13 meses para todos los datos PII, pero ningún dato procesado o almacenado en los servicios de Wayfinding alcanza este umbral.
Almacenamiento y respaldo de datos
Todas nuestras bases de datos se replican en una instancia secundaria en una zona diferente. La replicación es en tiempo real. En caso de mantenimiento planificado de la base de datos, falla de la instancia de la base de datos o falla de una zona, el servicio en la nube afectado se replicará automáticamente a la instancia secundaria. Esto significa que no tenemos un solo punto de falla.
Purple ejecuta instantáneas diarias en todas las bases de datos, lo que significa que tenemos la capacidad de restaurar nuestra base de datos rápidamente si surge la necesidad. Estas instantáneas están encriptadas y basadas en la nube, y se replican automáticamente en otras zonas para evitar la pérdida de datos.
Titularidad de los datos/controlador
El cliente tendrá acceso a los datos del usuario final y compartirá la titularidad de estos datos con Purple como tercero, a fin de brindar la solución. En este escenario, también se le considera el Controlador de estos datos y Purple es el Procesador. Estamos obligados a tratar estos datos de acuerdo con las mismas normas que Purple y cualquier legislación local relativa al almacenamiento seguro de datos. En la actualidad, la solución está alojada centralmente.
Componentes de la aplicación
Portal de administración
Ofrecemos un portal de administración seguro para la administración de tu solución. El portal está protegido por un firewall de aplicaciones web para evitar la denegación de servicio distribuida. Los usuarios se autentican con nombre de usuario y contraseña con contraseñas codificadas y con salt.
Recopilación de datos de ubicación/presencia
La solución Wayfinding de Purple funciona mediante la combinación de diferentes fuentes para facilitar nuestros servicios basados en la ubicación. Para facilitar el servicio que brindamos, el dispositivo del usuario recopila información sobre la intensidad de la baliza BLE circundante, las redes wifi vistas y los datos recopilados de los sensores del dispositivo, como el magnetómetro, el acelerómetro y el barómetro. Esta información no está vinculada a ninguna información personal que pueda relacionarse a un usuario individual y se almacena solo para informes agregados, como visitantes únicos durante el día, destinos más navegados, tipos de dispositivos utilizados, etc. Si se envía un comentario, los datos de geolocalización utilizados para ubicar a los usuarios dentro de un edificio se anonimizan y se comparten con nuestro socio Indoor Atlas con el objetivo principal de solucionar problemas y realizar análisis, y se eliminan después de 12 meses.
Móvil y Web
Nuestra interfaz de usuario móvil y web para usuarios finales se comunica con los endpoints de la API, creados con los servicios de aplicaciones de Azure para transferir el riesgo de las acciones de parcheo de hardware al proveedor de alojamiento compatible con SOC. Nuestros endpoints de la API se entregan a través de la funcionalidad Front Door de Azure para mitigar la amenaza de DDoS.
Nuestro código de Android e iOS se escanea en busca de vulnerabilidades mensualmente y se somete a tests de penetración anualmente. Los cambios de código están sujetos a pruebas antes del despliegue en producción.
Quiosco
La solución de quiosco es una pantalla de hardware opcional ubicada dentro de un lugar asociado a Purple que permite a los usuarios finales navegar hasta un punto final determinado. La seguridad de este hardware es administrada por Purple y parcheada en línea con nuestros SLA de seguridad. El software se revisa periódicamente para detectar vulnerabilidades de seguridad de la aplicación y se parchea de forma remota mediante una herramienta de administración remota de tu elección. Para facilitar esto, requerimos conectividad de red al host.
La solución de quiosco ofrece funcionalidad para permitir que los usuarios finales se envíen por correo electrónico un enlace de las indicaciones de viaje a su teléfono. Esta es la única área en la que potencialmente manejamos datos personales y es importante tener en cuenta que esta funcionalidad se puede desactivar a pedido.
Gestión de personal, procedimientos y políticas
Acceso del personal
El acceso al sistema Purple Wayfinding dentro de Azure está estrictamente limitado a miembros clave del personal, que se revisa periódicamente para garantizar que solo el personal adecuado tenga cuentas.
Ocasionalmente se contratan terceros (contratistas y empresas) para trabajos de desarrollo. Todo el código producido está sujeto a la misma revisión por pares que cualquier código creado por nuestro equipo interno. Nuestro equipo de desarrollo subcontratado con sede en India está sujeto por contrato a los mismos requisitos de seguridad de datos y personal que tenemos para nuestro negocio. Los equipos de desarrollo se someten a una formación de desarrollo segura en torno al OWASP Top Ten al menos una vez al año.
Los roles de acceso del personal están claramente definidos y revisados trimestralmente y en los cambios de contrato. El acceso a los datos y las aplicaciones se establece sobre la base de privilegios mínimos, y los usuarios solo tienen acceso a lo que necesitan para cumplir con su función durante el tiempo que lo necesiten. El personal tiene derechos de acceso mínimos durante su período de prueba de tres meses, y los que no son empleados (por ejemplo, los contratistas) no tienen acceso a los datos de los clientes, servicios en vivo o repositorios de códigos.
Todo el personal está sujeto a verificaciones de referencia de antecedentes y el personal con acceso administrativo como parte de su función está sujeto a verificaciones básicas del DBS.
Los procedimientos de desarrollo y pruebas están claramente definidos en nuestra política de desarrollo seguro. Todo el código se envía a través de un pull request y es revisado por pares del equipo y al menos dos desarrolladores senior antes del merge. Luego pasa por el análisis de las pruebas de regresión con nuestro equipo de control de calidad, que crea y mantiene hojas de prueba estandarizadas. Las pruebas unitarias se utilizan en todo el código y se fomenta el desarrollo basado en pruebas. Las pruebas de validación se pueden llevar a cabo con algunos socios antes del lanzamiento de nuevas funcionalidades importantes en forma de betas/pruebas.
Despliegues
Los despliegues se llevan a cabo como mínimo semanalmente para mantenimiento general y las correcciones de errores se implementan según sea necesario. Los lanzamientos grandes siguen un programa de despliegue trimestral. Todos los despliegues se hacen a través de la plataforma de pruebas de Purple para su aprobación final por parte de nuestro equipo de control de calidad.
Gestión de vulnerabilidades/amenazas
Purple lleva a cabo pruebas mensuales automatizadas de análisis de vulnerabilidades/amenazas de todas nuestras aplicaciones e infraestructura, y en cada cambio significativo (lanzamientos de código grandes, cambios de infraestructura/arquitectura o después de actualizaciones de software). Los parches de software se aplican al menos una vez al mes. Si se encuentra una vulnerabilidad durante estas pruebas, se evaluará el nivel de impacto de la amenaza y se parchará de inmediato si se considera necesario o se implementará la corrección en la próxima versión. Nuestro socio de seguridad realiza una prueba/auditoría completa de penetración de terceros según sea necesario y al menos una vez al año.
Respuesta a incidentes
Implementamos una Política de informes de incidentes de seguridad que brinda al personal pautas claras para proteger la integridad de los datos recopilados por Purple. Esto garantiza que los incidentes de seguridad, o posibles incidentes, se identifiquen, se informen al Gerente de Seguridad de la Información y se traten de manera correspondiente a la urgencia y el impacto del incidente.
Terminación del personal
Purple tiene un procedimiento claro para la terminación del personal. Las solicitudes para eliminar el acceso a los sistemas y recuperar el hardware se registran como solicitudes de cambio en la mesa de servicio interna. Nuestros socios de desarrollo están sujetos a las mismas políticas de personal que nuestro equipo.
El acceso se otorga de acuerdo con nuestra matriz de control de acceso basada en funciones. El acceso se audita regularmente durante todo el año. Contamos con un proceso para nuevos empleados, empleados transferidos y empleados terminados que incluye una revisión de los permisos de acceso en caso de que algún miembro del personal cambie de función.
- Wayfinding de datos y seguridad
- Created on 09 junio 2023
- Última actualización en 06 julio 2023