Seguridad y cumplimiento

Veriff ha obtenido y mantiene la certificación ISO/IEC 27001:2022, que se extiende además a los controles adicionales definidos en ISO/IEC 27017:2015 e ISO/IEC 27018:2019*. Además, Veriff cumple con SOC 2 Tipo II, GDPR y ha obtenido la certificación Cyber Essentials. Asimismo, Veriff ofrece productos certificados con el UKDIATF (UK Digital Identity and Attributes Trust Framework).

*Veriff Brasil aún no ha recibido oficialmente la certificación, sin embargo, cumple con los mismos requisitos.

Veriff implementa medidas de control de acceso lógico sobre los sistemas utilizados para procesar datos personales. Tales medidas incluyen, pero no se limitan a:

1. 1. Aplicación de diferentes niveles de acceso bajo la base de “necesidad de conocimiento” y “mínimo privilegio” para asegurar que solo los empleados autorizados que requieren acceso para realizar sus tareas inmediatas tengan derechos de acceso a las fuentes de información, incluidos los datos personales. El acceso se termina cuando ya no es necesario.
   2. Habilitación técnica para registrar operaciones de procesamiento en los sistemas de Veriff en una medida razonable. En caso de necesidad de acceso a registros, estos pueden solicitarse a través de nuestro soporte al cliente.
   3. Exclusión de acceso no autorizado a los sistemas y plataformas de información de Veriff, por ejemplo, permitiendo a los invitados usar solo acceso dedicado a internet inalámbrico para visitantes.
   4. Acceso protegido a todos los sistemas con autenticación de dos factores.
   5. Aplicación de una política de contraseñas complejas.
   6. Los dispositivos de trabajo están configurados para bloquearse automáticamente después de 10 minutos de inactividad.
   7. La información protegida solo puede ser accedida, almacenada, compartida o manejada usando sistemas y canales de comunicación controlados y autorizados para uso de Veriff. Está prohibido usar el equipo y las cuentas de Veriff para uso personal.

Veriff implementa medidas técnicas de seguridad sobre los sistemas utilizados para procesar datos personales. Tales medidas incluyen, pero no se limitan a:

1. 1. Se utilizan protocolos seguros (p. ej., HTTPS) y conexiones de red (p. ej., VPN, IPSEC) para transferir datos personales.
   2. Cifrado de datos en reposo y en tránsito. Veriff utiliza cifrado AES-256 estándar de la industria para datos en reposo y TLSv1.2+ para datos durante la transmisión.
   3. Hardware y software modernos y seguros para garantizar la confidencialidad, integridad, disponibilidad y resiliencia duraderas de los datos personales.
   4. Capacidad para restaurar, en tiempo oportuno, la disponibilidad y el acceso a datos personales en caso de un incidente físico o técnico mediante copias de seguridad. Se garantiza la preservación e integridad de los datos personales a través de intervalos regulares de backup.
   5. Copias completas de seguridad de todos los datos en sistemas de producción se realizan diariamente. Los backups se almacenan y cifran en servidores AWS. Nuestros equipos de ingeniería prueban periódicamente las copias de seguridad para asegurar la integridad del procedimiento. La restauración exitosa de los objetos respaldados cuenta como confirmación de la validez del proceso. El período predeterminado de retención de backups es de 90 días.
   6. Pruebas regulares y efectivas (incluyendo pruebas de penetración externas y evaluación de vulnerabilidades) y evaluación de medidas técnicas y organizativas, incluyendo la protección de sistemas contra posibles vulnerabilidades y ataques.
   7. Mantenimiento de software antivirus y antimalware razonable y actualizado, y cortafuegos para todas las redes, sistemas y dispositivos relevantes.

Veriff implementa medidas organizativas de seguridad sobre los sistemas utilizados para procesar datos personales. Tales medidas incluyen, pero no se limitan a:

1. 1. Programas prácticos para la gestión de incidentes de seguridad de la información, gestión de continuidad de negocios y recuperación ante desastres.
   2. Políticas y directrices internas extensas para el procesamiento y seguridad de datos personales, que abarcan, entre otros, el procesamiento de datos personales y el manejo de solicitudes de titulares, gestión de accesos, cifrado, seguridad de la información, recuperación de incidentes, gestión de proveedores, seguridad física y requisitos para trabajo remoto.
   3. Capacitación regular que cubre, entre otros, protección de datos, seguridad de la información y especificidades relacionadas con el puesto. Dependiendo del puesto, tendencias generales y necesidades, se proporcionan capacitaciones ad-hoc y personalizadas.
   4. Oficial de protección de datos que supervisa y audita el cumplimiento general de Veriff con las leyes de privacidad.

Veriff implementa controles físicos extensos para garantizar la seguridad del procesamiento de datos personales. Tales medidas incluyen, pero no se limitan a:

1. Controles físicos mantenidos, incluyendo acceso a las oficinas de Veriff cerrado y protegido con autenticación personalizada de dos factores.
2. Los empleados deben portar credenciales identificativas.
3. Las oficinas de Veriff cuentan con áreas de trabajo separadas accesibles solo para empleados autorizados.
4. Las oficinas de Veriff tienen áreas designadas para invitados y los visitantes solo pueden acceder a otras áreas determinadas cuando están acompañados por un empleado de Veriff. Todos los invitados deben portar acreditaciones y registrarse al entrar y salir en la recepción.
5. Las oficinas de Veriff están equipadas con controles perimetrales, vigilancia por cámaras en el sitio y seguridad (en ciertas ubicaciones).