Declaración Comercial de Seguridad

Introducción

BauWatch se toma la seguridad de la información muy en serio. Como actor clave en el negocio de la seguridad (y la vigilancia), la seguridad de la información está integrada en nuestros procesos y productos principales. Tomamos medidas cruciales para proteger la información frente a filtraciones de datos, accesos no autorizados y amenazas disruptivas de seguridad de la información que puedan afectar a datos empresariales, de clientes y personales. Consideramos que la seguridad de la información es un factor diferenciador de nuestro servicio frente a nuestros competidores.

En BauWatch hemos adoptado la actitud “Mejorar cada día”. Creemos que las personas nunca deben dejar de mejorar. A través del aprendizaje y el desarrollo, nuestros usuarios y compañeros se esfuerzan por desempeñar sus funciones lo mejor posible. Esto también aplica a nuestros productos, servicios y procesos. Para la protección de sus datos, hemos adoptado el marco ISO 27001 con el mismo objetivo. Con una actitud de mejora continua, tratamos de proteger sus datos de la mejor manera posible.

Contamos con procesos operativos específicos para gestionar la seguridad de la información, personal especializado en seguridad y un mecanismo interno de reporte que facilita la toma de decisiones adecuada en caso de incidentes. Nuestro Sistema de Gestión de la Seguridad de la Información se basa en la gestión de riesgos.

Gobernanza de la Seguridad

Estamos comprometidos a cumplir con todas las leyes y normativas relevantes, tales como la NIS-2, el Reglamento General de Protección de Datos (RGPD) y normas como ISO 27001 y EN 50518.
Un mecanismo clave es nuestra estructura de Gobernanza, con una línea directa de reporte a nuestros ejecutivos, quienes están comprometidos con la seguridad.
Al mismo tiempo, hemos establecido un comité directivo de seguridad encabezado por nuestro CISO para alinear las operaciones en los distintos países. Dicho comité supervisa los procesos de seguridad, analiza incidentes de seguridad cuando corresponde y garantiza que el programa de seguridad se implemente y ejecute tanto a nivel de grupo como en cada país.

Seguridad por Diseño

La protección de sus datos comienza desde el inicio. Por ello, nuestros productos y servicios se desarrollan bajo el principio de Seguridad por Diseño.
Para nuestro software, definimos un proceso de desarrollo seguro y una lista de verificación de código seguro. Lo mismo aplica a nuestros procesos de ingeniería y de gestión de proyectos. La seguridad está presente en todas las fases de nuestros procesos de desarrollo.

Si utilizamos componentes de proveedores, nos aseguramos de que cumplan nuestras directrices de seguridad.

Protección de sus Datos

Realizamos grandes esfuerzos para proteger la confidencialidad de los datos personales, preferencias y otra información. Para ello, adoptamos los principios de “menor privilegio” y “necesidad de saber”.
Invertimos de forma significativa en tecnologías de servidores, bases de datos, copias de seguridad y cortafuegos.

Para más información sobre la privacidad de los datos, consulte nuestra Declaración de Privacidad.

Compromiso con la Transparencia

En BauWatch no pretendemos afirmar que podemos evitar todos los incidentes de seguridad. Los incidentes pueden y ocurrirán ocasionalmente. Cuando esto sucede, estamos comprometidos a ser transparentes al respecto, ya que creemos que es la mejor manera de mantener la confianza de nuestros clientes.
Por supuesto, trabajamos arduamente para que los incidentes sean lo más infrecuentes posible.

Para reducir el impacto de los incidentes, hemos implementado planes de recuperación ante desastres y establecido un equipo de respuesta a incidentes que ensaya posibles crisis anualmente.
Como guía para estas acciones, ejecutamos de forma continua la Gestión de Riesgos.

Aprobado por Expertos Independientes

Varias veces al año supervisamos nuestros controles y procesos de seguridad de la información. Una vez al año, solicitamos a un auditor externo que realice la misma evaluación, lo que se traduce en nuestra certificación ISO 27001:2022.
Estas múltiples auditorías (internas y externas) nos han ayudado a establecer un ciclo de mejora continua en la seguridad de la información.

Información Adicional

BauWatch agradece las preguntas o comentarios sobre su seguridad y esta Declaración de Seguridad. Si tiene alguna pregunta o comentario, o necesita recibir nuestro informe de cumplimiento para fines de auditoría, envíe un correo electrónico a info-es@bauwatch.com con todos los detalles relevantes.

A continuación, encontrará información más detallada sobre los controles de seguridad de la información que hemos implementado:

Seguridad de Producto

Control

Registros de auditoría (Audit logs)
Para nuestros productos y servicios, llevamos un registro de las actividades mediante archivos de registro (logs).
Los nuevos desarrollos siguen nuestra política de registro. Ejemplos de actividades que registramos:

  • Registros de usuario

  • Registros de eventos

  • Registros de errores

Autenticación Multifactor – Inicio de Sesión Único (Single Sign On)
Cuando es posible, requerimos MFA para acceder a nuestras aplicaciones y productos.
Al seleccionar un nuevo producto, este es uno de los requisitos imprescindibles. Siempre que sea posible, se soporta a través de SSO.

Control de Acceso Basado en Roles (RBAC)
En nuestros procesos y productos seguimos los principios de “menor privilegio” y “necesidad de saber” para que las personas puedan ver y realizar únicamente las tareas relacionadas con su rol.

Pruebas de Penetración
Realizamos pruebas de penetración regularmente sobre nuestros productos y trabajamos en las conclusiones cuando es necesario.

Seguridad de la Información

Control

Responsable de Seguridad de la Información
Para consultas sobre seguridad de la información, puede escribirnos a security@bauwatch.com.

Datos Cifrados en Reposo
BauWatch utiliza diversas tecnologías para garantizar que los datos almacenados estén cifrados en reposo mediante cifrado AES-256.

Datos Cifrados en Tránsito
BauWatch cifra los datos sensibles en tránsito con TLS 1.2 o TLS 1.3.

Contraseñas
BauWatch utiliza protección por contraseña, cifrado y otras medidas de seguridad para prevenir accesos no autorizados a datos confidenciales.
Las contraseñas cumplen los requisitos de NIST.

Revisión y Supervisión de Accesos
El acceso a los sistemas de BauWatch está estrictamente controlado y los permisos se revisan y aprueban periódicamente para garantizar el principio de menor privilegio.
Disponemos de políticas y procedimientos de acceso que se revisan y aprueban anualmente.

Copias de Seguridad de Datos
Los sistemas de BauWatch se respaldan regularmente según calendarios establecidos.
Se supervisan las copias de seguridad y se generan alertas en caso de excepciones.
Todos los fallos se documentan, clasifican y resuelven.
Todas las copias de seguridad están cifradas.

Inventario de Activos
Se mantiene un inventario de sistemas que incluye dispositivos físicos, sistemas virtuales y software.

Clasificación de Datos
BauWatch cuenta con una política documentada de clasificación de datos que identifica la información necesaria para soportar el funcionamiento de los controles internos, el logro de objetivos y los requisitos asociados de protección, acceso y retención.

Seguridad Organizacional

Control

Verificación de Antecedentes de Empleados

Los empleados de BauWatch se someten a una verificación de antecedentes antes de recibir una oferta formal de empleo. Esta verificación puede variar según el país y el puesto, de acuerdo con las leyes y regulaciones aplicables. Al ser contratados, todos los empleados deben leer y reconocer los siguientes documentos de BauWatch:

  • Código de Conducta en Seguridad

  • Manual del Empleado

Capacitación en Seguridad para Empleados

BauWatch requiere que todos los empleados completen una formación en comportamiento y concienciación en seguridad como parte del proceso de incorporación, así como de manera anual.

Gestión de Activos

BauWatch ha implementado herramientas que permiten la visibilidad de los activos clave dentro de nuestra infraestructura.

Gestión de Cambios

BauWatch mantiene un proceso de gestión de cambios dentro de su marco de ciberseguridad, evaluando y controlando de manera sistemática las modificaciones en su entorno de TI para garantizar que las actualizaciones, configuraciones y alteraciones se implementen de forma segura, minimizando riesgos potenciales y manteniendo una sólida postura de seguridad.

Gestión de Incidentes

BauWatch mantiene un proceso formal de Gestión de Incidentes que describe los procedimientos de respuesta a eventos (de seguridad). Cada empleado es informado sobre cómo reportar incidentes (de seguridad).

Privacidad

Control

Responsable de Privacidad de Datos

Para consultas sobre privacidad de datos, puede leer nuestra Declaración de Privacidad o contactarnos por correo electrónico a privacy@bauwatch.com.

Acuerdo de Procesamiento de Datos

BauWatch ha establecido un Acuerdo Integral de Procesamiento de Datos (DPA) que define los términos y condiciones que regulan el tratamiento de datos personales.

RGPD

BauWatch cumple con el RGPD y con las normas aplicables de notificación de violaciones de datos.

Cámaras

Las torres de BauWatch y sus cámaras solo supervisan las áreas solicitadas por nuestros clientes. Todas las áreas que no deben ser monitorizadas no son visibles en nuestros centros de vigilancia. Además, no supervisamos las pantallas de manera continua, sino que la activación se produce a partir de eventos en áreas de detección específicas, conforme a lo acordado con nuestros clientes. Solo en caso de un evento real activamos y monitorizamos las cámaras en vivo.

Centros de Recepción de Alarmas (ARC)

Control

Monitoreo de Alarmas

BauWatch supervisa sus alarmas en los Centros de Recepción de Alarmas. En Alemania y los Países Bajos contamos con nuestros propios centros.

EN 50518

Los ARC propios de BauWatch cuentan con la certificación EN 50518. En otros países, operamos en ARC certificados.

Disponibilidad

Con base en la norma EN 50518, garantizamos una disponibilidad del 99,9% en nuestro proceso de alarma de manera anual.

Seguridad Física

Nuestros centros de monitoreo son entornos altamente protegidos y separados que cuentan con el máximo nivel de protección física. Solo las personas autorizadas pueden acceder a estas áreas.

Continuidad del Negocio y Recuperación ante Desastres

Control

Plan de Continuidad del Negocio

BauWatch cuenta con un plan documentado de continuidad del negocio y recuperación ante desastres, gestionado y supervisado por un equipo especializado. Este plan se somete a pruebas anuales.

Plan de Recuperación ante Desastres

BauWatch dispone de un plan documentado de continuidad del negocio y recuperación ante desastres, controlado y aplicado por un equipo de recuperación ante desastres. Este se prueba anualmente.

Objetivo de Tiempo de Recuperación (RTO) / Objetivo de Punto de Recuperación (RPO)

Nuestros planes de continuidad del negocio y recuperación ante desastres están basados en indicadores RTO y RPO que garantizan una disponibilidad del 99,9% en nuestros procesos de monitoreo.

Gestión de Amenazas

Control

Gestión de Vulnerabilidades

BauWatch mantiene un sistema sólido de gestión de vulnerabilidades, identificando, evaluando y mitigando de forma sistemática posibles vulnerabilidades de seguridad en su infraestructura de TI y TO, con el fin de garantizar un entorno operativo resiliente y seguro. BauWatch se somete anualmente a un escaneo de vulnerabilidades y a una prueba de penetración realizada por un proveedor externo.

Política de Divulgación de Vulnerabilidades

Si usted es cliente o cliente potencial de BauWatch y considera que ha identificado una vulnerabilidad de seguridad relacionada con productos o servicios de BauWatch, por favor contacte con security@bauwatch.com.

Pruebas de Penetración

BauWatch se somete anualmente a un escaneo de vulnerabilidades y a pruebas de penetración realizadas por un proveedor externo.

Gestión de Riesgos

BauWatch ha implementado un proceso integral de gestión de riesgos, identificando, analizando y mitigando de manera sistemática los riesgos potenciales de ciberseguridad, con el fin de garantizar la confidencialidad, integridad y disponibilidad de sus sistemas de información y activos.

Se realiza una evaluación anual de riesgos para analizar de forma sistemática las posibles amenazas de ciberseguridad, asegurando que los sistemas de información y activos de BauWatch sean analizados exhaustivamente en busca de vulnerabilidades y que se implementen las estrategias de mitigación adecuadas.

Antivirus y Malware

BauWatch dispone de una política integral de antivirus y protección contra malware tanto para las estaciones de trabajo de empleados como para los servidores. BauWatch utiliza soluciones de protección de endpoints de proveedores reconocidos como parte de su estrategia de defensa en profundidad, asegurando que los sistemas se actualicen regularmente para protegerse contra las últimas amenazas.

Proveedores de Servicios Externos / Subencargados

Control

Proveedores de Servicios Externos / Subencargados

BauWatch puede contratar y utilizar (i) determinados encargados externos de tratamiento de datos y/o (ii) una de las filiales de BauWatch (colectivamente, “Subencargados”) para prestar servicios a nuestros clientes. Estos Subencargados pueden acceder a datos personales proporcionados directamente por el cliente con el fin de ejecutar los servicios contratados y brindar soporte.

Gestión de Riesgos de Terceros (TPRM)

BauWatch ha implementado un marco sólido de Gestión de Riesgos de Terceros (TPRM) para identificar, evaluar y mitigar de manera sistemática los riesgos potenciales asociados a sus alianzas externas, garantizando la seguridad e integridad de sus operaciones.