Prácticas de seguridad

En Smartsheet, comprendemos que necesita saber cómo se protegen y aseguran sus datos cuando utiliza nuestros Servicios en línea. En estas Prácticas de seguridad de Smartsheet, se describen las prácticas y protecciones que utiliza Smartsheet, incluidas medidas físicas, organizativas y técnicas, las cuales están diseñadas para preservar la seguridad, integridad y confidencialidad del Contenido del Cliente y de los Servicios en línea a fin de protegerlo de las amenazas a la seguridad de la información.

 

1.       Aspectos generales.

1.1     Programa de seguridad de la información.  Smartsheet deberá mantener un programa integral de seguridad de la información por escrito, que incluya políticas, estándares, procedimientos y documentos relacionados en los que se establezcan criterios, medios, métodos y medidas que rijan el Procesamiento y la seguridad del Contenido del Cliente y los sistemas o redes de Smartsheet que se utilizan para Procesar o proteger el Contenido del Cliente (“Sistemas de información de Smartsheet”) en relación con la prestación de los Servicios en virtud del Acuerdo y el Suplemento. 

1.2     Confidencialidad; capacitación.  Smartsheet se asegurará de que el personal de Smartsheet: (a) esté sujeto a obligaciones de confidencialidad con respecto al Contenido del Cliente que sustancialmente ofrezcan el mismo nivel de protección que las establecidas en el Acuerdo; y (b) realice una capacitación adecuada relativa al Procesamiento del Contenido del Cliente.

1.3     Definiciones

1.3.1    “Acuerdo” se refiere al acuerdo que rige el acceso del Cliente a los Servicios en línea y su uso.

1.3.2    “Cliente” significa la persona o entidad que ejecuta o acepta un Pedido, o se registra a fin de obtener acceso para una prueba gratuita o hacer uso de un Servicio, y que aceptó un Acuerdo.

1.3.3    “Contenido del Cliente” hace referencia a cualquier dato, archivo adjunto, texto, imágenes, informes, información personal u otro contenido que el Cliente o los Usuarios carguen o envíen a un Servicio en línea y que Smartsheet Procese en representación del Cliente. 

1.3.4    “Procesar” se refiere a cualquier operación o conjunto de operaciones realizadas sobre el Contenido del Cliente, ya sea por medios automatizados o no, como la obtención, el registro, la organización, la estructuración, el almacenamiento, la adaptación, la alteración, la recuperación, la consulta, el uso, la alineación, la combinación, la restricción, la supresión, la destrucción o la divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición.

1.3.5    “Infracción de seguridad” se refiere a una infracción de la seguridad que produce la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada del Contenido del Cliente o el acceso a este.

1.3.6    “Servicios” hace referencia a los Servicios de suscripción y a cualquier otro servicio o aplicación en línea que Smartsheet proporciona o controla para su uso con los Servicios de suscripción.

1.3.7    “Personal de Smartsheet” se refiere a cualquier persona autorizada por Smartsheet para Procesar el Contenido del Cliente.

1.3.8    “Servicios de suscripción” hace referencia a los servicios y las aplicaciones en línea basados en suscripciones que Smartsheet proporciona o controla. 

1.3.9     “Suplemento” se refiere a aquellos criterios, medios, métodos y medidas, además de términos y condiciones, aplicables a ciertos productos y servicios de Smartsheet o tipos de clientes disponibles en www.smartsheet.com/legal/agreement-supplement.

1.3.10    “Usuario” es cualquier persona autorizada o invitada por el Cliente u otro Usuario a acceder a los Servicios en línea y usarlos en virtud de los términos del Acuerdo.

 

2.      Controles de seguridad.  De acuerdo con su programa de seguridad de la información, Smartsheet implementará los controles físicos, organizativos y técnicos pertinentes diseñados para: (a) garantizar la seguridad, integridad y confidencialidad del Contenido del Cliente Procesado por Smartsheet; y (b) proteger el Contenido del Cliente de amenazas o riesgos conocidos o razonablemente anticipados, incluida su seguridad, integridad, pérdida accidental, alteración, divulgación y otras formas ilegales de Procesamiento. Sin limitar lo anterior, Smartsheet utilizará, según corresponda, los siguientes controles:

2.1    Firewalls.Smartsheet instalará y mantendrá firewalls para proteger los datos a los que se puede acceder a través de Internet. 

2.2    Actualizaciones.Smartsheet contará con programas y rutinas para mantener los Sistemas de información de Smartsheet actualizados con mejoras, actualizaciones, correcciones de errores, nuevas versiones y otras modificaciones.

2.3    Antimalware.  Smartsheet implementará y utilizará software antimalware y mantendrá el software antimalware actualizado. Smartsheet utilizará dicho software para mitigar amenazas de todos los virus, spyware y otros tipos de código malicioso que se detecten o que deberían detectarse razonablemente. 

2.4    Pruebas.Smartsheet probará con regularidad sus sistemas, procesos y controles de seguridad para asegurarse de que cumplan con los requisitos de estas Prácticas de seguridad.

2.5    Controles de acceso.  Smartsheet protegerá el Contenido del Cliente que procesen los Sistemas de información de Smartsheet respetando lo siguiente:

  • 2.5.1    Smartsheet asignará un identificador (ID) único al Personal de Smartsheet que tenga acceso a los Sistemas de información de Smartsheet. 
  • 2.5.2    Smartsheet restringirá el acceso a los Sistemas de información de Smartsheet únicamente al Personal de Smartsheet que sea necesario para cumplir con una obligación específica según lo permitido por el Acuerdo. 
  • 2.5.3    Smartsheet revisará con regularidad (como mínimo una vez cada noventa [90] días) la lista del Personal y los servicios de Smartsheet con acceso a los Sistemas de información de Smartsheet y eliminará las cuentas que ya no requieran acceso.
  • 2.5.4    Smartsheet no utilizará las opciones predeterminadas proporcionadas por los fabricantes para las contraseñas del sistema en ningún sistema operativo, software ni Sistema de información de Smartsheet; exigirá e impondrá por sistema el uso de “contraseñas seguras” en un nivel igual o superior al que establecen las prácticas recomendadas (que se describen a continuación); y requerirá que todas las contraseñas y credenciales de acceso se mantengan en confidencialidad y no se compartan entre el personal de Smartsheet. 
  • 2.5.5    Como mínimo, las contraseñas de producción de Smartsheet: (i) contendrán al menos ocho (8) caracteres; (ii) serán diferentes de contraseñas anteriores, del nombre de usuario del inicio de sesión y del nombre común del usuario; (iii) se cambiarán cada vez que se sospeche o suponga un riesgo para la cuenta; y (iv) se reemplazarán con regularidad.
  • 2.5.6    Smartsheet aplicará el bloqueo de las cuentas que Procesen Contenido del Cliente cuando excedan una cantidad designada de intentos de contraseña incorrectos en un período determinado.
  • 2.5.7    Smartsheet conservará datos de registro de todo uso de cuentas o credenciales por parte del Personal de Smartsheet para acceder a los Sistemas de información de Smartsheet y revisará periódicamente los registros de acceso para detectar indicios de comportamientos maliciosos o accesos no autorizados. 

2.6    Políticas.  Smartsheet mantendrá y aplicará políticas pertinentes de seguridad de la información, confidencialidad y uso aceptable al Personal de Smartsheet; estas políticas cumplirán con los estándares establecidos en estas Prácticas de seguridad e incluirán métodos para detectar y registrar infracciones de las políticas. 

2.7    Desarrollo.  Los entornos de desarrollo y pruebas estarán separados de los Sistemas de información de Smartsheet. 

2.8    Eliminación.  Smartsheet utilizará procedimientos que cumplan, como mínimo, con las recomendaciones SP 800-88, revisión 1, del Instituto Nacional de Estándares y Tecnología (NIST) —o un estándar sucesor ampliamente utilizado en la industria— para que el Contenido del Cliente sea irrecuperable antes de la eliminación de los medios.  

2.9    Cifrado.  Smartsheet utilizará estándares criptográficos que exijan algoritmos autorizados, requisitos de longitud de claves y procesos de gestión de claves que sean coherentes con los estándares actuales de la industria (incluidas las recomendaciones del NIST) o que los superen, y mantendrá requisitos de fortalecimiento y configuración coherentes con el enfoque de los estándares actuales de la industria, incluidas las recomendaciones del Instituto SANS, el NIST o el Centro para la Seguridad de Internet (CIS). De acuerdo con dichos estándares, Smartsheet cifrará el Contenido del Cliente en reposo dentro de los Servicios en línea y solo permitirá conexiones cifradas con el Servicio en línea para la transferencia de Contenido del Cliente.

2.10  Acceso remoto.  Smartsheet garantizará que cualquier acceso desde fuera de sus entornos corporativos o de producción protegidos a los Sistemas de información de Smartsheet o a las redes corporativas o de estaciones de trabajo de desarrollo de Smartsheet requerirá controles de conexión pertinentes, como autenticación multifactor o VPN. 

 

3.      Uso de terceros.

3.1    Aspectos generales.  Los terceros contratados por Smartsheet de conformidad con el Acuerdo mantendrán (como mínimo) niveles de seguridad sustancialmente similares a los aplicables y requeridos por estas Prácticas de seguridad.

3.2   Alojamiento de datos.  Smartsheet garantizará que cualquier proveedor de alojamiento externo (“Infraestructura como servicio” o “IaaS”) que utilice Smartsheet para Procesar el Contenido del Cliente cumpla con los siguientes requisitos:

  • 3.2.1    Requisitos básicos.  Como mínimo, Smartsheet garantizará que los proveedores de IaaS: (a) mantengan la seguridad física y los controles de acceso pertinentes, como se establece en la sección 2.5 de estas Prácticas de seguridad; (b) utilicen controles profesionales ambientales y de climatización; (c) utilicen un entorno profesional de red y cableado; (d) utilicen una capacidad profesional de detección y supresión de incendios; y (e) mantengan un plan integral de continuidad de las operaciones.
  • 3.2.2.    Auditoría anual; evaluación.  Realice evaluaciones de riesgos y auditorías independientes anuales. Dichas evaluaciones e informes de auditoría se proporcionarán a Smartsheet y, si así lo requiere la ley, se pondrán a disposición del Cliente, siempre y cuando Smartsheet pueda eliminar toda información o términos comerciales y confidenciales que no estén relacionados con las Prácticas de seguridad de la IaaS. Además, Smartsheet llevará a cabo revisiones y evaluaciones anuales de toda IaaS crítica a fin de validar las medidas de seguridad y, como mínimo, cumplir con los requisitos que establecen estas Prácticas de seguridad.
  • 3.2.3    Requisitos ampliados.  Posea los requisitos y capacidades de un centro de datos altamente disponible y redundante (“N + 1”), en el que varios componentes ofrezcan al menos un componente de respaldo independiente para garantizar que la funcionalidad del sistema continúe a niveles de rendimiento aceptables en caso de una falla del sistema.

 

4.      Disponibilidad del sistema.  Smartsheet mantendrá (o bien, con respecto a los sistemas controlados por terceros, se asegurará de que dichos terceros mantengan) un programa de recuperación ante desastres (“DR”) diseñado para recuperar la disponibilidad del Servicio de suscripción después de un desastre. Como mínimo, dicho programa de DR incluirá los siguientes elementos: (a) validación rutinaria de procedimientos para crear periódica y programáticamente copias de retención del Contenido del Cliente con el fin de recuperar los datos perdidos o dañados; (b) inventarios, actualizados al menos una vez por año, que enumeren todos los Sistemas de información críticos de Smartsheet; (c) una revisión y actualización anuales del programa de DR; y (d) pruebas anuales del programa de DR diseñadas para validar los procedimientos de DR y la capacidad de recuperación del servicio detallado allí.

 

5.      Infracción de seguridad.

5.1    Procedimiento. 

  • 5.1.1     Smartsheet notificará al Cliente por escrito y sin demoras indebidas cuando llegue al conocimiento de Smartsheet una Infracción de seguridad confirmada. 
  • 5.1.2    Smartsheet investigará y, según sea necesario, mitigará o remediará una Infracción de seguridad de acuerdo con las políticas y procedimientos de incidentes de seguridad de Smartsheet (“Gestión de infracciones”).
  • 5.1.3    Sujeto a las obligaciones legales de Smartsheet, Smartsheet proporcionará al Cliente la información que esté a disposición de Smartsheet como resultado de su Gestión de infracciones, incluida la naturaleza del incidente, la información específica divulgada (si se conoce), y todo esfuerzo de mitigación o medida correctiva relevante (“Información de la infracción”), para que el Cliente cumpla con su obligación según las leyes aplicables como resultado de una Infracción de seguridad.
  • 5.1.4    Si el Cliente requiere información relacionada con una Infracción de seguridad además de la Información sobre el incidente, por pedido escrito del Cliente y a expensas únicamente de este, así como en la medida en que el Cliente no pueda acceder a información adicional por su cuenta, Smartsheet cooperará razonablemente con el Cliente según lo solicitado por el Cliente a fin de intentar recopilar y proporcionar dicha información adicional.

5.2    Intentos fallidos.  Un ataque o intrusión fallido no es una Infracción de seguridad sujeta a esta Sección 5. Un “ataque o intrusión fallido” es aquel que no da lugar a un acceso no autorizado o ilegal al Contenido del Cliente y puede incluir, entre otros, pings y otros ataques de transmisión en firewalls o servidores perimetrales, escaneos de puertos, intentos de inicio de sesión fallidos, ataques de denegación de servicio, sniffing de paquetes (u otro acceso no autorizado a datos de tráfico que no tenga como resultado el acceso más allá de las direcciones IP o los encabezados TCP/UDP) o incidentes similares.

5.3    Participación del cliente o del usuario.  El acceso no autorizado o ilegal al Contenido del Cliente que se produzca como resultado de los ajustes de configuración del Cliente, el compromiso de las credenciales de inicio de sesión de un Usuario, o el uso compartido o la divulgación intencionales o involuntarios del Contenido del Cliente por parte del Cliente o un Usuario no constituye una Infracción de seguridad.

5.4    Notificaciones.  Las notificaciones de una Infracción de seguridad, si corresponden, se enviarán a uno o más usuarios del Administrador del sistema del Cliente por cualquier medio razonable que Smartsheet seleccione, incluido el correo electrónico. El Cliente es el único responsable de mantener la información de contacto correcta en el Servicio en línea en todo momento.

5.5    Descargo de responsabilidad.  La obligación de Smartsheet de informar o responder a una Infracción de seguridad en virtud de esta Sección 5 no es un reconocimiento por parte de Smartsheet de ninguna falla ni responsabilidad de Smartsheet con respecto a la Infracción de seguridad.

 

6.      Auditorías e informes.

6.1    Monitoreo.  Smartsheet monitorea la efectividad de su programa de seguridad de la información de manera continua mediante diversas auditorías, evaluaciones de riesgos y otras actividades de monitoreo para garantizar la efectividad de sus medidas y controles de seguridad. 

6.2    Informes de auditoría.  Smartsheet utiliza auditores externos para verificar que sus medidas y controles de seguridad sean adecuados para determinados Servicios, incluidos los Servicios de suscripción. La auditoría resultante: (a) incluirá pruebas de todo el período de medición desde que finalizó el período de medición anterior; (b) se llevará a cabo de acuerdo con las normas SOC2 de la AICPA o con otras normas alternativas que sean sustancialmente equivalentes a las SOC2 de la AICPA; (c) serán realizadas por profesionales de seguridad externos independientes que seleccionará y cuyos honorarios estarán a cargo de Smartsheet; y (d) dará lugar a la generación de un informe SOC2 (“Informe de auditoría”), que será Información confidencial de Smartsheet. El Informe de auditoría se pondrá a disposición del Cliente, previa solicitud por escrito y una vez al año como máximo, sujeto a las obligaciones de confidencialidad del Acuerdo o de un acuerdo de confidencialidad mutuamente acordado. Para evitar dudas, cada Informe de auditoría solo analizará los servicios existentes en el momento en que se emitió el Informe de auditoría; posteriormente, los servicios publicados, si están dentro del alcance del Informe de auditoría, se incluirán en la próxima iteración anual de este.  

6.3    Pruebas de penetración.  Smartsheet recurre a expertos externos en seguridad para llevar a cabo pruebas de penetración de determinados Servicios en línea, incluidos los Servicios de suscripción. Estas pruebas: (a) se realizarán al menos una vez al año; (b) serán realizadas por terceros profesionales de la seguridad independientes cuyos honorarios estarán a cargo de Smartsheet; y (c) darán lugar a la generación de un informe de pruebas de penetración (“Informe de pruebas de penetración”), que será Información confidencial de Smartsheet. El Informe de pruebas de penetración se pondrá a disposición del Cliente, previa solicitud por escrito y una vez al año como máximo, sujeto a las obligaciones de confidencialidad del Acuerdo o de un acuerdo de confidencialidad mutuamente acordado.  

6.4    Auditoría del Cliente.  Si el Cliente, además del Informe de auditoría y del Informe de pruebas de penetración, legalmente requiere información para cumplir con las leyes aplicables, mediante solicitud escrita y a cargo del Cliente, y en la medida en que el Cliente no pueda acceder a la información adicional por su cuenta, Smartsheet permitirá y cooperará con una auditoría obligatoria del Cliente que lleve a cabo un auditor externo en relación con el Procesamiento del Contenido del Cliente por parte de Smartsheet (“Auditoría del Cliente”), siempre y cuando:

  • 6.4.1.   El cliente envíe a Smartsheet un aviso anticipado razonable, que incluya la identidad del auditor, además de la fecha y el alcance previstos de la Auditoría del Cliente.
  • 6.4.2    Smartsheet apruebe al auditor mediante notificación al Cliente, sin que dicha aprobación se retenga injustificadamente.
  • 6.4.3    El Cliente y el auditor actúen de modo que se eviten daños, lesiones o alteraciones en las instalaciones, el equipo o el negocio de Smartsheet en el transcurso de dicha Auditoría del Cliente.
  • 6.4.4.   El cliente inicie solo una Auditoría del Cliente en cualquier año calendario, salvo que las autoridades públicas exijan lo contrario.

 

Última actualización: 24 de marzo de 2023