Legal — Toqen

Seguridad y divulgación responsable

Implementamos medidas técnicas y organizativas adecuadas para proteger los datos personales y mantener la seguridad del servicio, y agradecemos los informes responsables de vulnerabilidades.

TL;DR

  • Transporte seguro y cifrado cuando proceda.
  • Controles de acceso estrictos, separación de entornos y monitorización.
  • Divulgación responsable con un compromiso de puerto seguro para investigación de buena fe.

Medidas de seguridad

Mantenemos un programa de seguridad diseñado para proteger la confidencialidad, integridad y disponibilidad del servicio Toqen y de los datos personales tratados en relación con él. Nuestras medidas se seleccionan y mantienen mediante un enfoque basado en riesgos, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para las personas.

  • Cifrado en tránsito mediante estándares TLS actuales; cifrado en reposo cuando sea apropiado y esté soportado por la infraestructura correspondiente.
  • Controles de acceso basados en el principio de mínimo privilegio, incluido el acceso administrativo restringido y, cuando proceda, la separación de funciones.
  • Separación lógica entre entornos de desarrollo, preproducción y producción, con controles para reducir el riesgo de acceso no autorizado y exposición de datos.
  • Medidas técnicas y organizativas para detectar y mitigar abusos y ataques, como limitación de tasa, mitigación de bots y protección frente a repetición cuando proceda.
  • Monitorización, registros y alertas para apoyar las operaciones de seguridad, la detección de incidentes y el diagnóstico, con acceso a los registros limitado a personal y procesos de servicio autorizados.
  • Prácticas de desarrollo seguro, incluidas revisiones de código y pruebas automatizadas orientadas a identificar problemas de seguridad y fiabilidad.
  • Protección de los datos de participación de Launch Partner y de los datos administrativos relacionados en sistemas protegidos con acceso limitado a personal y procesos de servicio autorizados.

Revisamos periódicamente y, cuando proceda, actualizamos nuestras medidas técnicas y organizativas conforme evolucionan los riesgos y cambia el servicio.

Por motivos de seguridad, no divulgamos públicamente detalles sensibles de controles, configuraciones o mecanismos de detección específicos.

RGPD y principios de protección de datos en la UE

Nuestro servicio está diseñado teniendo en cuenta los principios de protección de datos de la UE, incluidos la minimización de datos, la limitación de la finalidad, la integridad, la confidencialidad y la limitación del plazo de conservación.

Cuando sea técnicamente viable y apropiado para la funcionalidad seleccionada, el servicio está diseñado para reducir la conservación a largo plazo innecesaria de datos personales y para evitar depender de perfiles centrados en la identidad como configuración predeterminada.

Encontrará más información sobre el tratamiento de datos personales, incluida la conservación, las transferencias y los derechos de los interesados, en nuestra Política de privacidad. Cuando Toqen trate datos personales por cuenta de un partner, la relación se rige por el Data Processing Addendum (DPA) y los acuerdos de protección de datos aplicables.

Se implementan medidas técnicas y organizativas adecuadas para apoyar la seguridad del tratamiento de conformidad con el artículo 32 del RGPD.

Divulgación responsable

Si cree que ha descubierto una vulnerabilidad de seguridad que afecta a Toqen, repórtela a hi@toqen.app e incluya detalles suficientes para que podamos reproducir e investigar el problema.

Revisamos los informes enviados de buena fe bajo un enfoque de divulgación responsable y procuramos acusar recibo de los informes válidos en un plazo razonable. Podremos solicitar información adicional o coordinación para reducir el riesgo para usuarios y partners.

Puerto seguro: No iniciaremos acciones legales contra personas que realicen investigación de seguridad de buena fe, siempre que (i) cumplan la legislación aplicable, (ii) eviten vulneraciones de privacidad, destrucción de datos e interrupción del servicio, (iii) no accedan, recopilen, conserven, utilicen ni divulguen datos más allá de lo necesario para demostrar la vulnerabilidad, (iv) nos informen de la vulnerabilidad sin demora y nos den una oportunidad razonable para remediarla y (v) no divulguen públicamente la vulnerabilidad ni detalles del exploit antes de la corrección o antes de acordar un calendario de divulgación coordinada.

Proveedores de infraestructura y servicios

Utilizamos proveedores de infraestructura y servicios consolidados para operar y proteger el servicio. Cuando dichos proveedores tratan datos personales, actúan como encargados del tratamiento o subencargados bajo términos contractuales adecuados, incluidas obligaciones de protección de datos y seguridad, según exija la legislación aplicable.

Los controles de seguridad se implementan mediante medidas técnicas y organizativas por capas. Aunque no divulgamos detalles sensibles de implementación, procuramos comunicar las prácticas de seguridad de forma clara, exacta y no engañosa.