Icono de lupa

Normativa y cumplimiento

Nos tomamos muy en serio la seguridad de los datos de nuestros clientes. Descubre en detalle el compromiso de Sage con normas reconocidas del sector y con el cumplimiento normativo, lo que contribuye a una seguridad sólida de tus datos y tu software.

Entendemos tu función en la seguridad

En el complejo panorama tecnológico actual, nuestro conocimiento de los requisitos legales, certificaciones internacionales y normas es esencial para que nuestros clientes estén seguros y cumplan con la normativa.

Gobernanza en materia de seguridad

Una buena gobernanza es crítica para una seguridad eficaz. En Sage, esta empieza en los cargos superiores, nuestro CEO y el consejo, y se extiende por toda la organización. Nuestras prácticas reciben una validación independiente por parte de revisiones y certificaciones externas.

Evaluación de riesgos

Los riesgos cibernéticos son una cuestión estratégica en Sage y están sometidos a un alto nivel de supervisión. Nuestras completas evaluaciones periódicas de este tipo de riesgos ayudan a definir los protocolos y controles de seguridad que priorizamos.

Modelo de seguridad compartida

Utilizamos las funciones de seguridad proporcionadas por nuestros partners de alojamiento en la nube, AWS y Microsoft Azure, y las mejoramos con nuestras herramientas y prestaciones. Nuestro objetivo es minimizar la carga que supone la seguridad para nuestros clientes.

El compromiso de Sage con las normativas de seguridad

Nos diferenciamos por nuestro riguroso enfoque hacia la seguridad.

Marcos de seguridad: Sage ha desarrollado su propio sistema de gestión de la seguridad de la información a partir de la norma internacional ISO 27001. Al seleccionar y diseñar los procesos y controles de seguridad necesarios para alcanzar nuestros objetivos de seguridad de riesgos cibernéticos, nos basamos en referencias como la norma ISO 27002 y los marcos del NIST y la AICPA.

Políticas: Sage garantiza que cumple con las normas y reglamentos de seguridad a través de un riguroso gobierno corporativo. Con esto nos referimos a que revisamos y actualizamos periódicamente las políticas que cubren la seguridad de la información, el desarrollo seguro, el uso aceptable de nuestros sistemas internos y la protección y el manejo de datos personales, y a que estas políticas se encuentran integradas en la organización.

Legal: Sage respeta el cumplimiento normativo a través de la revisión periódica del panorama legal y legislativo en busca de posibles actualizaciones, con auditorías de cumplimiento legal y con un registro de actividades de tratamiento (ROPA), según lo establecido en el Artículo 30 del RGPD.

RGPD y CCPA: Sage cumple con el Reglamento General de Protección de Datos (RGPD), la California Consumer Privacy Act (CCPA, ley estadounidense de privacidad del cliente) y con el resto de normas relevantes en materia de privacidad de datos en las jurisdicciones en las que tratamos datos.

ISO 27001: la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Se trara de un conjunto de políticas, procedimientos, procesos y sistemas que gestionan los riesgos de seguridad de la información, como los ciberataques. Contamos con la certificación ISO 27001 gracias al desarrollo y las operaciones seguras de nuestro Software as a Service (SaaS) de contabilidad, gestión financiera, RR. HH. y personal y gestión empresarial en la nube, dentro de Sage Business Cloud.

SOC 2: un informe de controles internos que analiza cómo una empresa protege los datos de sus clientes y el nivel de funcionamiento de los controles internos. En Sage, ampliamos constantemente el alcance de estos informes para que incluyan más productos y servicios.

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS): un conjunto de políticas y procedimientos diseñados para optimizar la seguridad de las transacciones con tarjetas de crédito, débito y ATM. Sage cumple con el PCI DSS de nivel 1, pues garantiza la protección de los titulares de las tarjetas frente al uso indebido de sus datos personales.

La ley estadounidense de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, según sus siglas en inglés): establece los criterios relativos a la protección de datos sensibles de pacientes. Sage Intacct está certificado por cumplir los requisitos establecidos por la HIPAA.

Garantía de control: seguimos un completo programa para garantizar el control de la seguridad, cuyo objetivo es garantizar que nuestros productos cumplen con las normas de seguridad correspondientes y que están sometidos a revisiones periódicas según estas normas, para así conocer la eficacia de nuestros controles de seguridad.

Gestión de cambios: todas las actualizaciones, parches o nuevos lanzamientos de software se rigen por normas estrictas y procesos de gestión de cambios o lanzamientos.

Controles de acceso: el principio del mínimo privilegio es fundamental en nuestros procesos de control de acceso, desde la concesión de acceso, la gestión del acceso preferente a datos y sistemas, y los requisitos y acuerdos contractuales con nuestros proveedores.

Criptografía: nuestros requisitos criptográficos quedan formalizados en políticas y normas obligatorias. Definimos los algoritmos y sistemas criptográficos aprobados para su uso en productos y soluciones Sage.

Respuesta ante incidentes, continuidad del negocio y recuperación de desastres: probamos y ejercemos constantemente nuestras políticas y procedimientos de respuesta ante incidentes y de continuidad del negocio, así como los planes de recuperación y copias de seguridad de datos de cara a diversos supuestos, para garantizar que sabremos reaccionar de forma eficaz en caso de incidente.

Seguridad de terceros y proveedores

Nuestras colaboraciones se basan en la confianza, y garantizamos que esta sea una base sólida de estrictas normas de seguridad.

  • Evaluación de la seguridad de terceros: Sage gestiona un completo programa de control de la cadena de suministro para garantizar que los datos o servicios críticos estén protegidos en todo momento.
  • Gestión de proveedores: antes de integrar servicios o componentes de terceros, realizamos una exhaustiva evaluación de seguridad para identificar cualquier problema de este tipo y abordarlo de inmediato.
  • Auditorías y acuerdos contractuales: los proveedores pueden estar sujetos a reevaluaciones anuales. Trabajamos con varios servicios externos de valoración de la seguridad, con tecnologías de IA para controlar constantemente a nuestros proveedores y tomar las medidas necesarias para corregir cualquier cambio en la seguridad.

Garantizamos la seguridad de los datos

Tus datos son tu recurso más valioso. El compromiso de Sage es protegerlos.

  • Medidas de seguridad de los datos: el tráfico entrante y saliente de las aplicaciones y páginas web de Sage está cifrado con las últimas versiones del protocolo Transport Layer Security (TLS). El TLS garantiza la confidencialidad, integridad y disponibilidad de datos sensibles mientras viajan por internet.
  • Controles de acceso: dado que aplicamos el principio del mínimo privilegio, el acceso solo se otorga a usuarios cuya necesidad es fundamental. Los procedimientos y supervisión del control de acceso han de estar documentados y ser auditados periódicamente.
  • Alojamiento en la nube: colaboramos con proveedores de servicios en la nube líderes en el sector para ofrecer varias capas de controles de seguridad y así garantizar que tus datos no solo son accesibles sino que también están seguros.

Continúa tu recorrido

Más información sobre nuestro firme compromiso con la seguridad informática. Descubre todos los detalles en nuestras páginas específicas de operaciones de seguimiento y desarrollo seguro.

Seguimiento y operaciones

Explora en profundidad nuestra estrategia de operaciones y seguimiento ininterrumpido, dedicado a garantizar una seguridad y fiabilidad máximas de tus datos y sistemas.

Desarrollo seguro

Descubre cómo enfocamos el desarrollo de software, donde cada elemento del código se elabora exhaustivamente con la seguridad integrada desde el principio.

Comentarios