commercetools Technology Trust Center
Trust Center

Nuestro éxito depende de tu confianza

Nuestro compromiso es proteger la seguridad de los datos de nuestros clientes. Creemos que tienes derecho a saber dónde almacenamos tus datos, cómo los gestionamos y cómo los utilizamos.

Descargar Libro Blanco

Cultura de seguridad

La seguridad de la información desempeña un papel muy importante para commercetools, así como para nuestros clientes y partners. Esto se debe a que para nosotros es crucial procesar la información de manera rápida y precisa en cuanto sea necesario.

Para ello, se ha establecido un marco de gobernanza, gestión de riesgos y supervisión del cumplimiento, basado en las normas del sector y en la legislación aplicable en materia de protección de datos. La seguridad de la información es, por tanto, parte integrante de la estrategia corporativa de commercetools.

Security Culture

Seguridad

La gestión responsable de los datos de los clientes es de máxima importancia. La plataforma commercetools se ha construido como una plataforma cloud-native que permite la gestion simultánea de varios usuarios (multitenencia), y se ejecuta en centros de datos certificados en varias ubicaciones de Europa, EE.UU. y APAC. Toda la infraestructura, el desarrollo y los procesos aprovechan al máximo la funcionalidad innovadora de la nube.

Seguridad física

La plataforma commercetools está alojada en Google Cloud Platform (GCP) o Amazon Web Services (AWS) y garantiza la aplicación de medidas acordes con el nivel de seguridad rojo. Ambos proveedores de servicios en la nube operan centros de datos de última generación que se centran en la seguridad y la protección de los datos entre los principales criterios de diseño. Así lo demuestran el certificado ISO/IEC 27001 y los informes SOC II.

Oficinas: El acceso a las oficinas de commercetools está restringido y supervisado por la recepción, que también es responsable de la gestión de visitantes. Según el concepto de zona de seguridad, algunas áreas están cerradas y los visitantes deben ser guiados por empleados.

Seguridad de la red

El tráfico de la nube está protegido por reglas WAF preconfiguradas de nuestros proveedores de servicios en la nube y el tráfico a la plataforma de commercetools está cifrado únicamente por cifradores de última generación.

Todos los accesos a la red de la oficina de commercetools están controlados, limitados y supervisados y toda la comunicación está cifrada mediante el uso de WPA2 con clave AES-256 bits. El firewall implementado permite una gestión escalable y centralizada de múltiples puntos finales.

Seguridad de la plataforma

Todas las comunicaciones se realizan únicamente a través de HTTPS y están protegidas por TLS 1.2. La capa de almacenamiento (disco duro) está cifrada con AES-256. Todas las contraseñas de usuario se cifran de forma segura con algoritmos de última generación; nunca se almacenan en texto plano. La plataforma se escanea continuamente en busca de puertos abiertos y certificados/configuración SSL débiles. El aislamiento total y la segregación de los datos persistentes están garantizados y se comprueban mediante pruebas de penetración periódicas.

Formación y concientización

commercetools exige a todos los empleados y contratistas que firmen un acuerdo de confidencialidad antes de empezar a trabajar. Todos los miembros de commercetools reciben regularmente formación sobre seguridad y privacidad.

Backup y recuperación

commercetools utiliza entornos geográficamente separados para garantizar la protección frente a la pérdida de datos, proporcionar fiabilidad y un tiempo de actividad constante de nuestros sistemas. Las copias de seguridad se cifran y almacenan en soportes distintos a los de producción.

Seguridad operativa

Hemos implantado políticas y procedimientos, gestionados por nuestro Sistema de Gestión de la Seguridad de la Información (SGSI). El responsable de seguridad de la información coordina y revisa todas las áreas de nuestro SGSI para mejorar continuamente la eficacia y la eficiencia.

Fiabilidad

commercetools es la plataforma de composable commerce que mejor se adapta a la arquitectura de microservicios. commercetools permite a las empresas crear experiencias de compra fluidas en todos los puntos de contacto digitales, como smartphones, tablets y dispositivos móviles como smartwatches y TPV digitales. La solución SaaS (software como servicio) se despliega en contenedores y tiene la misma estructura independientemente del proveedor de servicios en la nube (GCP o AWS). La posibilidad de escalar autonomamente permite adaptarse automáticamente a las demandas de tráfico o carga de trabajo.

Gestión de la continuidad del negocio (BCM)

El objetivo de nuestra Gestión de Continuidad del Negocio (BCM por sus siglas en inglés) es garantizar que los servicios necesarios puedan recuperarse dentro de los plazos comerciales definidos y acordados. El plan de continuidad del negocio implementado identifica la exposición de una organización a amenazas internas y externas y sintetiza activos tangibles e intangibles para proporcionar una prevención y recuperación efectivas para la organización. El plan incluye actividades bajo circunstancias adversas, como desastres naturales, crimen organizado o fallos humanos, para mantener el funcionamiento diario del negocio.

Business Continuity Management (BCM)

Gestión del rendimiento

El objetivo de la Gestión del Rendimiento es optimizar la capacidad de la infraestructura, los servicios y la organización de apoyo para ofrecer un nivel de disponibilidad y confiabilidad rentable y sostenido que permita al cliente satisfacer sus objetivos comerciales. Debido a la arquitectura nativa de la nube y asíncrona de la plataforma de commercetools, existe la posibilidad de escalar de forma autónoma a medida que aumenta la carga general de la plataforma en todos los clientes.

commercetools Technology Trust Center Performance Management

Proceso de gestión de cambios

Los cambios se producen bien porque un cliente lo solicita a través de un ticket de soporte, bien porque lo inicia el Equipo de Soporte de Plataforma, o bien porque se sugiere internamente para mejorar un componente, proceso o resolver un error. Todo el desarrollo de la plataforma y la infraestructura se lleva a cabo a través de pipelines automatizados de CI/CD en entornos de desarrollo y pruebas apropiados. Se requieren varias revisiones y aprobaciones para implementar el código en entornos de producción.

commercetools Technology Trust Center Change Management Process

Cumplimiento

Antes de incorporar nuevos proveedores, se lleva a cabo una verificación del mismo nivel de protección y se documentan las medidas técnicas y organizativas. Nuestros subcontratistas más importantes son nuestros proveedores de servicios en la nube. Nuestros proveedores de servicios en la nube se someten periódicamente a verificaciones independientes de sus controles de seguridad, privacidad y cumplimiento, obteniendo certificaciones, atestaciones de cumplimiento normativo o informes de auditoría con respecto a estándares de todo el mundo.

Cumplimiento de Google Cloud
Programa de cumplimiento de AWS
Cumplimiento de Humio

commercetools Technology Trust Center Compliance

¿Quieres saber más?

commercetools también se somete continuamente a verificaciones independientes de los controles de seguridad, privacidad y cumplimiento de la plataforma. Nuestro fuerte y creciente enfoque en la conformidad y el cumplimiento de las normas le ayudará a alcanzar sus objetivos normativos y regulatorios. Los informes de auditoría pueden solicitarse con un acuerdo de confidencialidad firmado. Puedes ponerte en contacto con tu comercial o enviar una solicitud para ver los informes de auditoría a security@commercetools.com.

Únete a la revolución del Composable Commerce



ISO 27001

ISO 27001

ISO 27001 es una norma internacional desarrollada por la Organización Internacional de Normalización (ISO) que establece requisitos rigurosos para la gestión de la información y garantiza su confidencialidad, integridad y disponibilidad. TÜV Rheinland, un auditor independiente, ha verificado que nuestro Sistema de Gestión de Seguridad de la Información (ISMS) cumple o supera los requisitos de la norma ISO 27001.

commercetools Technology Trust Center Tisax

Tisax

Estamos certificados por TISAX en los módulos Tratamiento de la información con alto nivel de protección" y "Tratamiento de la información de identificación personal según el artículo 28 del Reglamento general de protección de datos de la UE".

TISAX son las siglas de Trusted Information Security Assessment Exchange, un mecanismo de intercambio para las evaluaciones de seguridad de la información de las empresas, que gestiona la Asociación ENX como ancla de confianza común. La base es una evaluación con un alcance de servicios claramente definido, que es igualmente adecuada y vinculante para todas las organizaciones a lo largo de toda la cadena de valor añadido de la industria del automóvil.

SOC II

SOC II

commercetools cumple con los estándares SOC II, demostrando nuestro compromiso con un entorno de servicio seguro, confiable y conforme. Un informe SOC II (Controles de Sistema y Organización) aborda controles relevantes para el cumplimiento operativo, basado en los Criterios de Servicios de Confianza (TSC) de la AICPA. Verificado por auditores independientes, nuestro cumplimiento con este renombrado estándar estadounidense destaca nuestra dedicación a proteger la información y la privacidad del cliente dentro de nuestra infraestructura nativa en la nube. Nuestro monitoreo continuo y robustas medidas de control aseguran la disponibilidad ininterrumpida, la integridad del procesamiento y la confidencialidad.

commercetools Technology Trust Center GDPR Logo

GDPR

Cumplimos el GDPR, verificado por auditorías externas. El Reglamento General de Protección de Datos (RGPD) tiene como objetivo reforzar la protección de los datos personales en Europa, y afecta a la forma en que todos hacemos negocios. El cumplimiento del GDPR es una prioridad absoluta para commercetools y nuestros clientes.

HDS (Hébergeur de Données de Santé)

HDS (Hébergeur de Données de Santé)

Como proveedor de servicios gestionados de TI, commercetools posee la certificación HDS para el ámbito de gestión de datos de salud personales, que es un requisito del Código de Salud Pública francés para el manejo de información de salud personal (Hébergeur de Données de Santé). Esta certificación destaca nuestro compromiso con la gestión segura de datos de salud y confirma nuestro enfoque meticuloso hacia la protección de datos.

commercetools Technology Trust Center Cyber Essentials

Cyber Essentials

commercetools complies with the requirements of the Cyber Essentials Scheme. Cyber Essentials es un programa respaldado por el Gobierno del Reino Unido, que tiene por objeto ayudar a proteger a las organizaciones de todos los tamaños contra una amplia gama de los ciberataques más comunes.

Privacidad

Procesos de gestión

Nuestro sistema de gestión de la protección de datos se ha integrado en nuestro sistema de gestión de la seguridad de la información y se basan en los controles ISO/IEC 27001 e ISO/IEC 27701. Ambos sistemas se gestionan de forma centralizada y se comprueban periódicamente en el marco de auditorías internas y externas.

Seguridad de las actividades de tratamiento de datos

El proveedor de servicios/encargado del tratamiento aplicará las medidas técnicas y organizativas adecuadas para proteger la información.

Supresión de datos

Las solicitudes de supresión del responsable del tratamiento se ejecutan siguiendo instrucciones. Se han implementado conceptos de eliminación de datos empresariales internos.

Acuerdo de tratamiento de datos

La GDPR exige que los responsables del tratamiento de datos (como las organizaciones que utilizan la plataforma commercetools) sólo utilicen procesadores de datos (commercetools) que ofrezcan garantías suficientes para cumplir los requisitos del artículo 28 del GDPR. El acuerdo de procesamiento de datos puede solicitarse en privacy@commercetools.com.

Responsable de Protección de Datos

commercetools ha asignado un Responsable de Protección de Datos externo que trabaja en estrecha colaboración con el Coordinador de Protección de Datos interno. Puedes ponerte en contacto por correo electrónico: privacy@commercetools.com.

Transferencia internacional de datos

Al igual que la legislación de protección de datos de la UE aplicable anteriormente, el GDPR exige que las empresas utilicen un mecanismo legal reconocido para la transferencia de datos desde la UE a otros países que no proporcionen un marco similar para la protección de datos. Se han acordado cláusulas estándar de la UE con todos los procesadores fuera de la UE.

Cumplimiento del GDPR, la CCPA y la Ley de Privacidad de Australia

La privacidad es un aspecto tan importante de nuestras vidas y afecta a la forma en que todos hacemos negocios. El cumplimiento de una serie de leyes de privacidad en todo el mundo es una prioridad para commercetools y nuestros clientes.