Seguridad y protección
Personio Trust Center
La protección de los datos y la seguridad de la información son aspectos fundamentales de los productos y servicios de Personio. Para nosotros, proteger tus datos y ganarnos tu confianza es fundamental.
Pensando en nuestros clientes, implementamos un exhaustivo programa de seguridad y una amplia gama de controles, políticas y garantías por parte de terceros, incluida la certificación ISO 27001, para mantener tus datos seguros y protegidos. Esto también significa que trabajamos de forma continua en el cumplimiento de estas medidas, en consonancia con los estándares del sector, las normativas europeas sobre el tratamiento de datos y las amenazas de seguridad globales.
El Centro de confianza de Personio proporciona toda la información más reciente sobre la seguridad, fiabilidad, privacidad y el cumplimiento de la regulación en nuestros productos y servicios.
1. Seguridad del producto
En Personio, contamos con diversos mecanismos de control implementados en todos y cada uno de nuestros productos. Es lo que, de forma conjunta, denominamos "Ciclo de vida del desarrollo de software seguro" (SSDLC). Nuestro SSDLC nos ayuda a descubrir vulnerabilidades de seguridad de manera proactiva y retroactiva, y por supuesto, a resolverlas.
1.1 Ciclo de vida del desarrollo de software seguro (SSDLC)
El SSDLC de Personio sigue las prácticas recomendadas del sector de la seguridad para la implementación de controles sobre los servicios, los componentes de software, el código y las bibliotecas que se utilizan en Personio.
Entre los controles del SSDLC, se incluyen los siguiente:
Revisión de los cambios en producción por parte de dos o tres personas (4- to 6- eyes review)
Análisis de composición de software (SCA)
Pruebas de seguridad de aplicaciones estáticas (SAST)
Evaluaciones formales por parte de ingenieros de seguridad
1.2 Pruebas de seguridad recurrentes
Además de nuestros controles internos para detectar vulnerabilidades, colaboramos de manera habitual con proveedores externos de servicios de seguridad que realizan pruebas de penetración y examinan nuestros sistemas y aplicaciones en busca de errores y puntos débiles.
Dado que la detección de ataques y la seguridad de nuestros sistemas y de nuestra aplicación es de suma importancia para nosotros, confiamos en el reconocido proveedor de servicios de seguridad informática Cobalt para llevar a cabo pruebas de penetración y evaluaciones de seguridad externas de nuestros productos.
1.3 Diseño seguro
Controles de Acceso
Todas las cuentas de clientes de Personio se crean siguiendo las prácticas recomendadas del sector. No existen cuentas de usuario predeterminadas ni pasos de configuración para considerar la instancia “segura” desde el primer momento.
No obstante, proporcionamos a los administradores de Personio los controles necesarios para armonizar los ajustes de Personio con las políticas de seguridad y las necesidades relativas al cumplimiento de su organización.
Tanto si tienes que configurar la autenticación de inicio de sesión único (SSO) para integrarlo con tu proveedor de identidad, habilitar la autenticación de 2 factores (2FA/MFA), configurar una Política de contraseñas o establecer controles y permisos de acceso basados en roles (RBAC) para tus empleados, puedes contar con nosotros.
Registro de Auditoría (Audit Log)
Para asegurar que nuestros clientes puedan mantenerse al tanto de cualquier actividad en la aplicación, Personio tiene el Registro de Auditoría habilitado por defecto y es accesible a través de la función de Registro de Auditoría. El Registro de Auditoría muestra eventos relacionados con información personal, nómina, derechos de acceso y más. Continuamos añadiendo eventos para mejorar el Registro de Auditoría. Para más información, por favor visita la página del Registro de Auditoría en nuestro Help Center.
1.4 Programa de "bug bounty" (recompensa por detección de errores)
En Personio nos tomamos muy en serio la seguridad de la plataforma y los datos de nuestros clientes. Por ello, queremos recompensar a quienes nos ayudan a mejorar nuestro nivel general de seguridad identificando vulnerabilidades en nuestros productos.
Nuestro equipo de seguridad sabe que un buen programa de "bug bounty" ayuda a generar confianza en nuestra plataforma y mantenerla con los mejores estándares. Por eso nos hemos aliado con Intigriti con el fin de contar con un programa de "bug bounty".
Para participar, consulta la página de nuestro programa de "bug bounty".
En ella, puedes consultar las condiciones y el ámbito de nuestras recompensas, además de compartir de forma segura con nuestro equipo lo que descubras.
2. Cumplimiento
En esencia, Personio procesa y gestiona información sensible. Esta información incluye datos salariales de los empleados, informes de ausencias, documentos personales y solicitudes internas, entre otros. Personio ha creado su producto otorgando prioridad a la seguridad de los datos mediante el uso de diversos programas con los que ha desarrollado una serie de firmes controles de seguridad.
Los controles se han diseñado e implementado en Personio siguiendo las prácticas recomendadas del sector y los estándares internacionales. Personio cuenta con la certificación ISO 27001, y el cumplimiento lo ratifica anualmente una empresa de auditoría externa. Personio también colabora estrechamente con importantes responsables y comités del sector de la protección de datos y la seguridad informática, y es miembro de la Sociedad para la protección y la seguridad de los datos de Alemania, la Alianza para la ciberseguridad de Alemania y Bitkom eV.
2.1 RGPD
Personio cumple los requisitos fundamentales del RGPD de la UE, garantizando que la protección de datos esté incorporada desde el diseño y siempre forme parte de toda la aplicación, infraestructura y organización de Personio.
Privacidad y protección de datos
Personio cuenta con los servicios de Bitkom Servicegesellschaft mbH como nuestros Oficiales de Protección de Datos. Bitkom, una de las principales consultoras alemanas sobre economía digital, audita de forma periódica el cumplimiento de los requisitos de privacidad de los datos por parte de Personio.
Haga clic aquí para consultar la carta de referencia (DE 🇩🇪) del nombramiento de Bitkom como responsable de la protección de los datos.
Haga clic aquí para consultar el informe de auditoría de Bitkom (DE 🇩🇪) sobre la Política de privacidad de Personio.
Derechos de las personas titulares de los datos
Personio garantiza a sus clientes el respeto de sus derechos como titulares de los datos, como, por ejemplo, el derecho a solicitar la eliminación de datos personales o los derechos de acceso a los datos y su portabilidad. Los clientes de Personio pueden eliminar los datos de los candidatos de forma automática o bajo petición, y también pueden exportar los datos del personal, bloquear el acceso a ellos o eliminarlos de manera segura.
Con el método de autoservicio de Personio, los empleados tienen acceso directo a su expediente personal digital en todo momento. Además, pueden hacer una copia de seguridad de sus datos o exportarlos desde la lista de personal y también pueden descargar todos los documentos que hayan añadido personalmente.
No obstante, nos aseguramos de que la aplicación, la infraestructura subyacente y la estructura de la organización estén perfectamente dotadas para cumplir los requisitos del RGPD de la UE.
2.2 Sub responsables del tratamiento de datos
Tu cuenta de Personio te ofrece una lista de todos los subprocesadores del tratamiento de datos personales. En la lista constan los subprocesadores, las categorías de los datos tratados y la ubicación en la que se procesan. Cada cuenta de Personio puede tener una lista diferente, dependiendo de las integraciones que estén activadas. Ve a nuestro centro de ayuda para obtener más información sobre el acceso a la lista de sub responsables del tratamiento de datos.
También puede consultar la Política de privacidad general de Personio, donde encontrará una lista de los responsables del tratamiento de datos con los que trabaja Personio:
Datenschutzerklärung | Personio (DE 🇩🇪)
2.3 Compromisos contractuales
Medidas técnicas y organizativas (MTO)
Personio ha publicado un conjunto de MTO (medidas técnicas y organizativas) en las que se establecen los compromisos vinculantes contraídos con nuestros clientes en relación con la seguridad de tus datos. Vaya a nuestro centro de ayuda para obtener más información sobre la descarga de nuestras MTO.
Acuerdo de procesamiento de datos
Personio cuenta con un Acuerdo de procesamiento de datos (APD) referido a los datos de los clientes que establece las categorías de los datos tratados, su conservación y su eliminación. Ve a nuestro centro de ayuda para obtener más información sobre la descarga de su acuerdo de procesamiento de datos.
2.4 ISO/IEC 27001
Personio cuenta con la certificación ISO/IEC 27001:2013 y realiza auditorías de cumplimiento independientes cada año.
El sistema de gestión de la seguridad de la información (SGSI) de Personio comprende actividades comerciales relacionadas con la provisión, la explotación, el mantenimiento y la gestión de la plataforma de RR. HH. de software como servicio (SaaS) de Personio y establece los requisitos para el personal de Personio (empleados, contratistas, trabajadores por cuenta propia), proveedores y sistemas externos que creen, mantengan, almacenan, consulten, traten o transmitan información en:
El Departamento de Producto y Desarrollo (PTech) de Personio.
Limitado a las principales ubicaciones de desarrollo de producto de Múnich (sede), Madrid y Dublín.
Haz clic aquí para consultar nuestro certificado.
3. Políticas de seguridad
Personio cuenta con un conjunto de políticas de seguridad de los datos y privacidad que nos impulsan en cada paso que damos pensando siempre en nuestros clientes primero. Estas políticas son nuestra razón de ser. Nuestros clientes pueden tener la tranquilidad de que, con Personio, sus datos más sensibles están a buen recaudo.
Estas políticas se dan a conocer a todos los miembros del personal que se incorpora a Personio. La comunicación abierta y clara forma parte del código de Personio, que marca nuestro carácter como empresa y nuestro modo de trabajar. También nos encargamos de actualizar regularmente nuestras políticas y compartimos los cambios con todo el personal de Personio. Nos esforzamos a diario para permitir que las nuevas formas de trabajar, como PersonioFlex, cumplan los estándares y las prácticas recomendadas del sector, y para combatir las amenazas en constante evolución.
El equipo de seguridad elabora todas estas políticas, y las partes interesadas de los departamentos de TI, Legal e Ingeniería las evalúan para garantizar su cumplimiento por parte de la empresa. En conjunto, estas políticas aseguran que Personio cumpla con los estándares más exigentes, como el RGPD (Reglamento General de Protección de Datos) de la UE, y garanticen el cumplimiento de la certificación ISO 27001.
Política | Información |
Política de Seguridad de la Información
| La Política de Seguridad de la Información de Personio establece principios de alto nivel que definen el compromiso de la organización con la seguridad de la información. Estos principios sirven como base para implementar y gestionar un Sistema de Gestión de Seguridad de la Información (SGSI) efectivo. Describe los roles y responsabilidades de Personio, los objetivos de seguridad de la información, las medidas de control y las prácticas de protección de datos implementadas en Personio. Es revisada regularmente por el Equipo de Dirección Ejecutiva y asegura el cumplimiento de las mejores prácticas de la industria. |
Política de Protección de Datos
| La protección de datos está en el ADN de nuestra empresa. Todo el personal recibe capacitación sobre nuestras políticas durante su proceso de incorporación a la empresa. La Política de Protección de Datos incluye varios componentes que guían al personal sobre cómo manejar y procesar de manera segura los datos sensibles. |
Política de Control de Acceso
| La Política de Control de Acceso de Personio garantiza que el acceso a la información y los sistemas se otorgue según las necesidades del negocio y esté alineado con los objetivos organizacionales y los requisitos de seguridad. Abarca la gestión de acceso de usuarios supervisando los procesos del ciclo de vida del usuario, como el registro, modificación y revocación de derechos de acceso, y realizando revisiones regulares para minimizar el acceso no autorizado y las brechas de datos. Los usuarios son responsables de proteger sus credenciales, gestionar contraseñas, reportar incidentes de seguridad y adherirse a la política. La política también incluye controles técnicos para sistemas y aplicaciones, utilizando mecanismos de autenticación, incluyendo MFA, listas de control de acceso y gestión de sesiones para restringir el acceso solo a usuarios autorizados. |
Política de Uso Aceptable
| Como parte de nuestro Sistema de Gestión de Seguridad de la Información (SGSI), la Política de Uso Aceptable guía al personal de Personio sobre cómo usar de manera segura nuestros sistemas, redes y dispositivos en cumplimiento con las mejores prácticas de la industria. |
Política de Seguridad Física
| Nuestra Política de Seguridad Física se centra en proteger el acceso físico a la información y los sistemas estableciendo áreas seguras con acceso controlado para prevenir entradas no autorizadas. Esto implica implementar sistemas de control de acceso, CCTV, vigilancia en el sitio y barreras físicas para salvaguardar áreas sensibles. Además, la política aborda la seguridad de los equipos asegurando que los equipos estén asegurados en ubicaciones fijas, protegidos durante el transporte y mantenidos bajo condiciones ambientales adecuadas para prevenir robos, daños y acceso no autorizado. |
Política de Gestión de Incidentes
| La gestión efectiva de incidentes ayuda a las organizaciones a responder y recuperarse de incidentes de seguridad. La Política de Gestión de Incidentes de Personio establece procedimientos de respuesta a incidentes, define roles y responsabilidades, e implementa medidas para prevenir y mitigar su impacto. También incluye revisar los incidentes para identificar nuevos aprendizajes y mejorar las prácticas de seguridad. Si se produce una filtración de datos, Personio se lo comunicará de inmediato a los responsables del tratamiento de los datos y les ofrecerá asistencia, en virtud de las obligaciones establecidas por el RGPD y nuestras Medidas Técnicas y Organizativas (MTO). Puede visitar nuestro centro de ayuda para obtener más información sobre la descarga de nuestras MTO. |
4. Seguridad de la infraestructura
Como cualquier aplicación moderna SaaS, Personio opera en la nube. Sabemos que Personio también alberga los datos más sensibles de su negocio. Por tanto, el equipo desarrolla y ejecuta unos estándares de seguridad en la nube, e implementa una serie de controles sobre nuestra infraestructura para garantizar que esos estándares se cumplan en todo momento y sus datos estén protegidos.
4.1 Seguridad del perímetro
El equipo de seguridad de Personio implementa una variedad de métodos y tecnologías de detección de intrusos para salvaguardar nuestra infraestructura, incluyendo los datos de nuestros clientes. Nuestras capacidades de detección y prevención de intrusos se basan en una combinación de cortafuegos para aplicaciones web, plataformas de detección de amenazas en la nube, agentes de protección endpoint y herramientas de supervisión personalizadas y desplegadas en toda la infraestructura y la flota de servidores. El equipo de ingeniería de seguridad maneja y controla estas herramientas. Emplea análisis automatizados y manuales de los datos de los eventos para ofrecer una supervisión exhaustiva de toda la infraestructura de Personio.
4.2 Cifrado de datos
Cifrado de datos en tránsito
Todos los datos que se transfieren a través de redes no seguras se cifran durante la transferencia mediante TLS (seguridad de la capa de transporte) con series de cifrado sólido. También utilizamos métodos como HTTP con seguridad de transporte estricta (HSTS) para reforzar la integridad de los canales cifrados. Puedes utilizar de forma gratuita herramientas como Qualys SSL Labs y Security Headers para verificar los cifrados TLS y los algoritmos de los sitios y servicios de Personio.
Cifrado de datos en reposo
Todos los datos de los clientes de Personio se cifran en reposo con la codificación de AWS KMS para el almacenamiento en S3, las bases de datos de producción y las copias de seguridad de las bases de datos. El algoritmo de cifrado utilizado es AES 256. Todas las contraseñas se cifran específicamente mediante algoritmos y métodos de codificación como el "salting", que refuerzan la protección contra ataques sin conexión.
4.3 Aislamiento de instancias
Personio garantiza el tratamiento y el almacenamiento de datos de cada cliente de manera aislada a través de una separación lógica de nuestros clientes basada en una arquitectura de múltiples instancias. La asignación y la identificación de los datos se realiza mediante la asignación de un identificador único para cada cliente (p. ej., el número de cliente o el "identificador de la empresa").
4.4 Recuperación ante desastres
Personio cuenta con planes de recuperación ante desastres (DRP) para garantizar la disponibilidad de sus datos, incluso en el caso de averías graves. Consulte nuestras medidas técnicas y organizativas (MTO) para obtener más información sobre el DRP.
Más información
Puede obtener más información sobre cómo se han implementado nuestros sistemas para proteger sus datos en nuestro folleto de seguridad de los datos de AWS:
5. Contacte con nosotros
5.1 Preguntas sobre la seguridad del producto
Si ya eres cliente de Personio, o si solo quieres probar Personio, estamos a tu disposición para responder a todas tus preguntas y dudas relacionadas con la seguridad. El equipo de seguridad de Personio está preparado para dar respuesta a todas las preguntas sobre nuestros productos que quieran hacer los equipos de TI, seguridad o privacidad.
Para solicitar más información o ayuda para cumplimentar un cuestionario de seguridad, los clientes de Personio pueden presentar una solicitud en la sección Asistencia Q&A, incluyendo detalles de cómo podemos ayudar.
Si ya estás en contacto con un miembro del Departamento de Ventas para convertirte en cliente de Personio, consulta con él directamente. Será un placer ayudarte.
Si todavía no has hablado con nadie del equipo de ventas, ponte en contacto con una persona del equipo de preventa de Personio (sales@personio.com).
5.2 Incidentes de seguridad
Para informar de un incidente de seguridad posible o real en una cuenta de Personio, explica de forma resumida lo ocurrido a través de Asistencia Q&A.
Proporciona todos los detalles que puedas para que nuestro equipo pueda comenzar a investigar el incidente. Datos como fechas, horas, identificadores de usuarios, URL o capturas de pantallas resultan de gran utilidad para nuestro equipo de seguridad.
Nuestro equipo especializado en la experiencia de los usuarios nos ayudará a resolver tu problema de forma rápida.
5.3 Vulnerabilidades de seguridad
Nuestro equipo de seguridad sabe que un buen programa de "bug bounty" sirve para generar confianza en nuestra plataforma y mantenerla con los mejores estándares. Por eso nos hemos aliado con Intigriti con el fin de crear nuestro programa de "bug bounty".
Para participar, consulte la página de nuestro programa de "bug bounty", donde se detallan las condiciones y el alcance de nuestro programa, y compartir de forma segura con nuestro equipo lo que descubramos.