Usamos cookies

Usamos cookies para mejorar tu experiencia de navegación, ofrecer contenido personalizado y analizar nuestro tráfico. Al hacer clic en "Aceptar Todo", consientes el uso de cookies. Política de Privacidad

grubtech

Acuerdo de Procesamiento de Datos

Última actualización: May 14, 2026

Anexo II — Medidas Técnicas y Organizativas

Medidas Técnicas y Organizativas Incluidas Medidas Técnicas y Organizativas para Garantizar la Seguridad de los Datos

Descripción de las medidas de seguridad técnicas y organizativas implementadas por Grubtech como procesador de datos/importador de datos para garantizar un nivel apropiado de seguridad, teniendo en cuenta la naturaleza, alcance, contexto y propósito del procesamiento, y los riesgos para los derechos y libertades de las personas físicas.

Seguridad

Sistema de Gestión de Seguridad

Organización. Grubtech designa personal de seguridad calificado cuyas responsabilidades incluyen el desarrollo, implementación y mantenimiento continuo del Programa de Seguridad de la Información.

Políticas. La gerencia revisa y apoya todas las políticas relacionadas con la seguridad para garantizar la seguridad, disponibilidad, integridad y confidencialidad de los Datos Personales del Cliente. Estas políticas se actualizan al menos una vez al año.

Evaluaciones. Grubtech contrata a un tercero independiente de buena reputación para realizar evaluaciones de riesgos de todos los sistemas que contienen Datos Personales del Cliente al menos una vez al año.

Tratamiento de Riesgos. Grubtech mantiene un programa formal y efectivo de tratamiento de riesgos que incluye pruebas de penetración, gestión de vulnerabilidades y gestión de parches para identificar y proteger contra posibles amenazas a la seguridad, integridad o confidencialidad de los Datos Personales del Cliente.

Gestión de Proveedores. Grubtech mantiene un programa efectivo de gestión de proveedores.

Gestión de Incidentes. Grubtech revisa los incidentes de seguridad regularmente, incluyendo la determinación efectiva de la causa raíz y la acción correctiva.

Estándares. Grubtech opera un sistema de gestión de seguridad de la información que cumple con los requisitos del estándar ISO/IEC 27001:2022.

Seguridad del Personal

Se requiere que el personal de Grubtech se conduzca de manera consistente con las directrices de la empresa con respecto a la confidencialidad, ética empresarial, uso apropiado y estándares profesionales. Grubtech realiza comprobaciones de antecedentes razonablemente apropiadas en cualquier empleado que tendrá acceso a datos del cliente bajo este Acuerdo, incluido en relación con el historial de empleo y antecedentes penales, en la medida permitida legalmente y de conformidad con la ley laboral local aplicable, la práctica consuetudinaria y los reglamentos estatutarios.

Se requiere que el personal ejecute un acuerdo de confidencialidad por escrito en el momento de la contratación y que proteja los Datos Personales del Cliente en todo momento. El personal debe reconocer la recepción y el cumplimiento de las políticas de confidencialidad, privacidad y seguridad de Grubtech. Se proporciona capacitación en privacidad y seguridad al personal sobre cómo implementar y cumplir con el Programa de Seguridad de la Información. Se requiere que el personal que maneja Datos Personales del Cliente complete requisitos adicionales apropiados para su función (p. ej., certificaciones). El personal de Grubtech no procesará Datos Personales del Cliente sin autorización.

Controles de Acceso

Gestión de Acceso. Grubtech mantiene un proceso formal de gestión de acceso para la solicitud, revisión, aprobación y provisión de todo el personal con acceso a Datos Personales del Cliente para limitar el acceso a Datos Personales del Cliente y sistemas que almacenan, acceden o transmiten Datos Personales del Cliente a personas debidamente autorizadas que tengan una necesidad de tal acceso. Las revisiones de acceso se realizan periódicamente para garantizar que solo el personal con acceso a los Datos Personales del Cliente siga siendo necesario.

Personal de Seguridad de Infraestructura. Grubtech tiene y mantiene una política de seguridad para su personal, y requiere capacitación en seguridad como parte del paquete de capacitación para su personal. El personal de seguridad de infraestructura de Grubtech es responsable del monitoreo continuo de la infraestructura de seguridad de Grubtech, la revisión de los Servicios y la respuesta a incidentes de seguridad.

Gestión de Control de Acceso y Privilegios. Los administradores y usuarios finales de Grubtech y del Cliente deben autenticarse a través de un sistema de autenticación de múltiples factores o a través de un sistema de inicio de sesión único para usar los Servicios.

Procesos y Políticas de Acceso a Datos Internos — Política de Acceso. Los procesos y políticas de acceso a datos internos de Grubtech están diseñados para proteger contra el acceso no autorizado, uso, divulgación, alteración o destrucción de Datos Personales del Cliente. Grubtech diseña sus sistemas para permitir solo que personas autorizadas accedan a datos que están autorizadas para acceder en función de principios de "menor privilegio" y "necesidad de saber", y para evitar que otros que no deberían tener acceso obtengan acceso. Grubtech requiere el uso de identificadores de usuario únicos, contraseñas seguras, autenticación de dos factores y listas de acceso cuidadosamente monitoreadas para minimizar el potencial de uso de cuenta no autorizado. El otorgamiento o modificación de derechos de acceso se basa en: las responsabilidades laborales del personal autorizado; requisitos de deber laboral necesarios para realizar tareas autorizadas; una base de necesidad de saber; y debe estar de acuerdo con las políticas de acceso a datos internos y capacitación de Grubtech. Las aprobaciones se gestionan mediante herramientas de flujo de trabajo que mantienen registros de auditoría de todos los cambios. El acceso a sistemas se registra para crear un registro de auditoría para la responsabilidad. Cuando se emplean contraseñas para la autenticación (p. ej., inicio de sesión en estaciones de trabajo), las políticas de contraseña siguen prácticas estándar de la industria. Estos estándares incluyen complejidad de contraseña, caducidad de contraseña, bloqueo de contraseña, restricciones de reutilización de contraseña y reprompt de contraseña después de un período de inactividad.

Seguridad del Centro de Datos y la Red

Centros de Datos.

Infraestructura. Grubtech tiene AWS como su centro de datos.

Resiliencia. Las Zonas de Disponibilidad Múltiples se habilitan en AWS y Grubtech realiza Pruebas de Restauración de Copia de Seguridad regularmente para garantizar la resiliencia.

Sistemas Operativos del Servidor. Los servidores de Grubtech se personalizan para el entorno de la aplicación y los servidores se han endurecido para la seguridad de los Servicios. Grubtech emplea un proceso de revisión de código para aumentar la seguridad del código utilizado para proporcionar los Servicios y mejorar los productos de seguridad en entornos de producción.

Recuperación ante Desastres. Grubtech replica datos en múltiples sistemas para ayudar a proteger contra la destrucción accidental o pérdida. Grubtech ha diseñado y regularmente planifica y prueba sus programas de recuperación ante desastres.

Registros de Seguridad. Los sistemas de Grubtech tienen la capacidad de registro habilitada en su respectiva instalación de registro del sistema para admitir auditorías de seguridad, y monitorear y detectar ataques reales e intentados en, o intrusiones en, los sistemas de Grubtech.

Gestión de Vulnerabilidades. Grubtech realiza análisis de vulnerabilidades regulares en todos los componentes de infraestructura de su entorno de producción y desarrollo. Las vulnerabilidades se solucionan según el riesgo, con parches de seguridad Crítico, Alto y Medio para todos los componentes instalados tan pronto como sea comercialmente posible.

Redes y Transmisión

Transmisión de Datos. Las transmisiones en el entorno de producción se transmiten a través de protocolos estándar de Internet.

Superficie de Ataque Externa. Se implementa Grupo de Seguridad AWS que es equivalente a un firewall virtual para el entorno de Producción en AWS.

Respuesta a Incidentes. Grubtech mantiene políticas y procedimientos de gestión de incidentes, incluidos procedimientos detallados de escalada de incidentes de seguridad. Grubtech monitorea una variedad de canales de comunicación para incidentes de seguridad, y el personal de seguridad de Grubtech reaccionará rápidamente a incidentes sospechosos o conocidos, mitigará los efectos dañinos de tales incidentes de seguridad y documentará tales incidentes de seguridad y sus resultados.

Tecnologías de Encriptación. Grubtech pone a disposición el cifrado HTTPS (también conocido como SSL o TLS) para datos en tránsito.

Almacenamiento de Datos, Aislamiento, Autenticación y Destrucción. Grubtech almacena datos en un entorno multiusuario en servidores AWS. Los datos, la base de datos de Servicios y la arquitectura del sistema de archivos se replican entre múltiples zonas de disponibilidad en AWS. Grubtech aísla lógicamente los datos de diferentes clientes. Se utiliza un sistema de autenticación centralizado en todos los Servicios para aumentar la seguridad uniforme de datos. Grubtech garantiza la eliminación segura de Datos del Cliente mediante el uso de una serie de procesos de destrucción de datos.

Anexo III — Lista de Subprocesadores

Por favor, consulte https://security.grubtech.com/