LinkedIn Instagram WhatsApp

Construyendo una Estrategia de Ciberseguridad Sólida para su Organización

Construir una estrategia sólida de ciberseguridad ya no es opcional para las organizaciones que operan en el panorama digital actual. Ya sea una institución financiera en Ciudad de Panamá, una operación de manufactura en San Pedro Sula, una empresa de tecnología en San José o una firma de servicios profesionales en Miami, las amenazas dirigidas a su organización son reales, sofisticadas y cada vez más frecuentes. En GLADiiUM Technology Partners, hemos dedicado más de 20 años a ayudar a organizaciones en toda América Latina y Estados Unidos a construir estrategias de ciberseguridad que protejan sus activos, respalden sus operaciones y cumplan con sus requisitos regulatorios. Esta guía proporciona el marco integral que nuestros clientes utilizan para fortalecer su postura de seguridad.

¿Qué es una estrategia de ciberseguridad?

Una estrategia de ciberseguridad es el plan de alto nivel de una organización para proteger sus activos de información, su infraestructura tecnológica y sus operaciones comerciales frente a amenazas cibernéticas. Define los objetivos de seguridad de la organización, establece el marco para alcanzar dichos objetivos, asigna los recursos de manera adecuada y crea responsabilidad por los resultados de seguridad.

Una estrategia de ciberseguridad se distingue de una política de seguridad (que define reglas y requisitos) o de una arquitectura de seguridad (que define el diseño técnico de los controles de seguridad). La estrategia es el documento general que explica Por qué La organización está invirtiendo en seguridad., Qué los resultados que busca lograr, y Cómo tiene la intención de lograrlo, conectando los objetivos comerciales con las decisiones de inversión en seguridad de una manera que los ejecutivos, las juntas directivas y los reguladores puedan comprender y evaluar.

Las organizaciones que operan sin una estrategia de ciberseguridad documentada realizan inversiones en seguridad de forma reactiva: adquieren herramientas en respuesta a incidentes, implementan controles para satisfacer hallazgos de auditoría inmediatos y toman decisiones basadas en recomendaciones de proveedores en lugar de en su propio perfil de riesgo. El resultado es una postura de seguridad fragmentada que es menos efectiva y más costosa que un programa diseñado estratégicamente.

Elemento 1: Establecimiento de su Política de Seguridad de la Información

Toda estrategia de ciberseguridad comienza con una Política Formal de Seguridad de la Información, el documento fundamental que establece el compromiso de la gerencia con la seguridad, define el alcance y los objetivos del programa de seguridad, asigna roles y responsabilidades, y establece los requisitos mínimos de seguridad que se aplican en toda la organización.

Una sólida Política de Seguridad de la Información para organizaciones en América Latina debería:

  • Defina los objetivos de seguridad en términos que se conecten con los resultados comerciales — proteger la confianza del cliente, permitir el cumplimiento normativo y garantizar la continuidad operativa — en lugar de términos puramente técnicos.
  • Establecer una rendición de cuentas clara, designando a un líder sénior (CISO o equivalente) responsable del programa de seguridad y definiendo las responsabilidades de seguridad para cada función organizacional.
  • Se hace referencia a los marcos regulatorios específicos aplicables en su jurisdicción — CNBS en Honduras, SBP en Panamá, SUGEF en Costa Rica, SSF en El Salvador, CNBV en México, HIPAA y GLBA en los Estados Unidos.
  • Requiere revisión y actualización periódica — la política debe ser un documento vivo que evolucione con el panorama de amenazas y el entorno regulatorio, no un artefacto estático actualizado solo cuando una auditoría lo requiera.

Elemento 2: Comprensión de su panorama de amenazas

Una estrategia efectiva de ciberseguridad no puede ser genérica; debe calibrarse según las amenazas específicas que enfrenta su organización, basándose en su industria, su geografía, su entorno tecnológico y su modelo de negocio. Comprender su panorama de amenazas requiere tanto inteligencia externa como una evaluación interna.

La inteligencia externa de amenazas proporciona contexto sobre los actores de amenazas que atacan a las organizaciones en su sector y región, las técnicas de ataque que utilizan y los indicadores de compromiso que sugieren su presencia. Para las organizaciones en América Latina, las fuentes de inteligencia relevantes incluyen agencias regionales de ciberseguridad, comunidades de intercambio de información específicas de la industria y socios MSSP como GLADiiUM que mantienen inteligencia de amenazas relevante para cada mercado territorial.

La evaluación de riesgos interna identifica las vulnerabilidades específicas de su organización y los activos comerciales que son más críticos de proteger. Un proceso formal de evaluación de riesgos debe evaluar la probabilidad de cada escenario de amenaza relevante frente a su entorno de control actual, estimar el impacto comercial de los ataques exitosos y priorizar la inversión en seguridad basándose en la combinación de probabilidad e impacto, asegurando que los recursos aborden sus riesgos reales más altos en lugar de preocupaciones genéricas.

Elemento 3: Adopción de un marco de seguridad

Los marcos de seguridad proporcionan metodologías estructuradas para organizar y evaluar programas de ciberseguridad. En lugar de construir su estrategia desde cero, la adopción de un marco establecido garantiza la integridad, permite la evaluación comparativa frente a organizaciones pares y demuestra madurez ante reguladores y auditores.

Los marcos más relevantes para las organizaciones en los mercados de GLADiiUM incluyen:

  • Marco de Ciberseguridad del NIST (CSF) — El marco de trabajo más adoptado a nivel mundial, organizado en torno a cinco funciones: Identificar, Proteger, Detectar, Responder y Recuperar. Altamente adaptable a organizaciones de todos los tamaños y sectores. Requerido o referenciado en numerosos contextos regulatorios de EE. UU.
  • ISO/IEC 27001 — El estándar internacional para sistemas de gestión de seguridad de la información. Proporciona un marco de control integral y una vía de certificación cada vez más exigida para contratos empresariales y adquisiciones gubernamentales en toda América Latina.
  • Controles CIS Un conjunto priorizado de 18 controles de seguridad que representan las defensas más eficaces contra los patrones de ataque más comunes. Particularmente valioso para organizaciones que comienzan a construir o madurar sus programas de seguridad: la priorización ayuda a dirigir los recursos limitados a los controles de mayor impacto en primer lugar.
  • Seguridad de los Datos de la Industria de Tarjetas de Pago (PCI-DSS) — Para las organizaciones que procesan datos de tarjetas de pago, PCI-DSS es tanto un marco como un requisito de cumplimiento. Sus controles técnicos específicos proporcionan una hoja de ruta de implementación concreta para la seguridad de los pagos.

Elemento 4: Mantener los Sistemas Actualizados — Gestión de Parches

Las vulnerabilidades de software sin parches son el vector de ataque explotado con mayor frecuencia en entornos empresariales. El ransomware WannaCry, que causó miles de millones de dólares en daños a nivel mundial, explotó una vulnerabilidad para la cual un parche había estado disponible durante dos meses. La mayoría de los ataques de ransomware exitosos explotan vulnerabilidades conocidas, lo que significa que las organizaciones que aplican parches de manera rápida y consistente evitan un porcentaje significativo de los ataques que comprometen a sus pares.

Un programa eficaz de gestión de parches incluye:

  • Inventario completo de activos — No se puede aplicar un parche a algo si no se sabe que existe. Un inventario completo y continuamente actualizado de todo el software, sistemas operativos y firmware es fundamental para la gestión de parches.
  • Escaneo de vulnerabilidades Los escaneos regulares identifican qué activos tienen vulnerabilidades conocidas y priorizan la remediación basándose en la explotabilidad y la criticidad del negocio.
  • Acuerdos de Nivel de Servicio definidos para la aplicación de parches — Las vulnerabilidades críticas (puntuación CVSS 9.0+) deben ser parcheadas en un plazo de 24 a 72 horas. Las vulnerabilidades altas en un plazo de 7 a 14 días. Otras vulnerabilidades en un plazo de 30 días. Las organizaciones sin Acuerdos de Nivel de Servicio (SLA) definidos dejan consistentemente vulnerabilidades críticas abiertas durante meses.
  • Pruebas y validación Los parches deben probarse en entornos que no sean de producción antes de su implementación en sistemas de producción, especialmente para aplicaciones comerciales críticas donde los fallos inducidos por parches tendrían un impacto operativo.

Elemento 5: Autenticación Multifactor y Seguridad de la Identidad

La identidad es el nuevo perímetro. En un mundo donde los empleados trabajan de forma remota, las aplicaciones se ejecutan en la nube y el límite de red tradicional ya no existe, el control del acceso a través de una identidad verificada es el control de seguridad más fundamental disponible. La autenticación multifactor (MFA) debe implementarse en todos los sistemas que contengan datos sensibles o proporcionen acceso administrativo a la infraestructura.

Más allá de la MFA, un programa integral de seguridad de identidades incluye:

  • Gestión de Acceso Privilegiado (PAM) — Controlar, supervisar y auditar todo el acceso administrativo a sistemas críticos. Las credenciales privilegiadas son el objetivo más valioso para los atacantes que buscan escalar desde el acceso inicial hasta el control total del sistema.
  • Acceso con privilegios mínimos — Los usuarios deben tener el acceso mínimo requerido para realizar sus funciones laborales, nada más. Los privilegios de acceso excesivos amplían el daño potencial de cualquier cuenta comprometida.
  • Revisiones de acceso periódicas La revisión trimestral y la recertificación de los derechos de acceso de los usuarios garantizan que el acceso concedido para necesidades temporales o roles anteriores no persista indefinidamente.
  • Gestión de cuentas de servicio Las cuentas no humanas utilizadas por aplicaciones y procesos automatizados a menudo se pasan por alto, pero representan un riesgo significativo si se ven comprometidas.

Elemento 6: Segmentación de Red y Arquitectura de Defensa

La segmentación de red divide su entorno en zonas aisladas que requieren autorización explícita para cruzarse, limitando el movimiento lateral que caracteriza a las amenazas persistentes avanzadas y a los despliegues de ransomware empresariales. Las prioridades clave de segmentación incluyen:

  • Separar los sistemas OT/ICS de las redes IT corporativas con controles estrictos en el límite
  • Aislar los sistemas de procesamiento de pagos en un segmento de red dedicado y estrictamente controlado (requerido por PCI-DSS)
  • Creación de una zona dedicada para sistemas orientados a Internet (DMZ) que esté aislada de las redes internas
  • Segmentación de redes administrativas de redes de usuarios generales para proteger las vías de acceso privilegiado

Los firewalls de aplicación, las VLAN, las tecnologías de microsegmentación y las soluciones de Acceso a Red de Confianza Cero (ZTNA) contribuyen a una arquitectura de segmentación eficaz, apropiada para diferentes entornos y perfiles de amenaza.

Elemento 7: Preparación contra Ransomware y Copias de Seguridad

Dada la frecuencia y gravedad de los ataques de ransomware en América Latina, la preparación contra el ransomware merece una atención específica en la estrategia de ciberseguridad de cada organización. Una organización resiliente al ransomware tiene tres capas de defensa:

  • Prevención — MFA, DRE, seguridad de correo electrónico y capacitación de empleados para bloquear los ataques de phishing y basados en credenciales que sirven como principales vectores de entrada para el ransomware.
  • Contención Segmentación de red que limita la propagación del ransomware si se ejecuta, reduciendo el radio de explosión y el alcance de la recuperación requerida.
  • Recuperación — Copias de seguridad probadas, cifradas e inmutables almacenadas en ubicaciones a las que el ransomware no puede acceder — separadas de los sistemas de producción y protegidas contra el comportamiento de ataque a copias de seguridad que emplean los ransomwares modernos. Los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO) deben definirse y probarse regularmente.

Elemento 8: Planificación de la Respuesta a Incidentes

Los incidentes de seguridad no son una cuestión de si ocurrirán, sino de cuándo. Las organizaciones que cuentan con planes de respuesta a incidentes documentados y probados contienen los incidentes de manera más rápida, limitan el daño de forma más efectiva y se recuperan más rápidamente que aquellas que responden de manera improvisada. Un plan de respuesta a incidentes eficaz define:

  • ¿Quién es responsable de cada función en la respuesta (Comandante de Incidentes, líder técnico, líder de comunicaciones, asesor legal, patrocinador ejecutivo)?
  • Cómo se detectan, clasifican y escalan los incidentes
  • Manuales específicos para los tipos de incidentes más probables: ransomware, filtración de datos, compromiso de cuentas, DDoS.
  • Procedimientos de comunicación externa para clientes, reguladores y medios de comunicación
  • Obligaciones de notificación regulatoria y plazos aplicables en cada jurisdicción
  • Proceso de revisión posterior al incidente para incorporar lecciones aprendidas

Elemento 9: Monitoreo y Detección de Amenazas

Una estrategia de ciberseguridad solo es efectiva si se sabe cuándo está siendo probada. El monitoreo continuo proporciona la visibilidad necesaria para detectar ataques en curso antes de que resulten en violaciones exitosas. Los componentes principales de monitoreo incluyen:

  • Detección y Respuesta en Endpoints (EDR) — Monitoreo continuo del comportamiento en todos los puntos finales administrados con capacidades de respuesta automatizadas y dirigidas por analistas.
  • Gestión de Información y Eventos de Seguridad (SIEM) — Recopilación y correlación centralizada de eventos de seguridad de todo el entorno, lo que permite la detección de patrones de ataque que abarcan varios sistemas.
  • Análisis de Tráfico de Red — Monitoreo de las comunicaciones de red para detectar movimientos laterales, exfiltración de datos y tráfico de comando y control.
  • Análisis de Comportamiento de Usuarios y Entidades — Modelado de referencia del comportamiento normal del usuario con alertas sobre anomalías que puedan indicar cuentas comprometidas o amenazas internas.

Elemento 10: Fomentando una Cultura Consciente de la Seguridad

La estrategia de ciberseguridad más sofisticada técnicamente se ve socavada si las personas que operan dentro de ella desconocen las amenazas o no están capacitadas en prácticas seguras. La cultura de seguridad —el grado en que el comportamiento consciente de la seguridad está integrado en la forma en que las personas trabajan— es tanto un factor de riesgo como un control de riesgo que debe gestionarse activamente.

Fomentar una cultura de seguridad requiere una comunicación constante y relevante sobre seguridad, no solo capacitación anual para cumplir con normativas, sino un compromiso regular que conecte los comportamientos de seguridad con ejemplos del mundo real pertinentes a las funciones y responsabilidades de los empleados. Los programas de concienciación sobre seguridad, las simulaciones de phishing, la seguridad por diseño en los procesos de desarrollo de productos y el modelado de comportamientos seguros por parte del liderazgo contribuyen a una cultura organizacional donde la seguridad es responsabilidad de todos, no solo del departamento de TI.

Elaboración de su estrategia de ciberseguridad con GLADiiUM

GLADiiUM Technology Partners colabora con organizaciones de Honduras, Panamá, Costa Rica, El Salvador, México, Miami y Puerto Rico para desarrollar, implementar y mejorar continuamente estrategias de ciberseguridad que aborden su panorama de amenazas específico, sus obligaciones regulatorias y sus requisitos comerciales. Nuestro enfoque comienza con una evaluación integral de seguridad que establece su postura actual en los diez elementos descritos anteriormente, y luego desarrolla una hoja de ruta priorizada que ofrece mejoras medibles en cada fase.

Como su socio MSSP, proporcionamos la gestión continua, el monitoreo y la mejora constante que mantienen su estrategia efectiva a medida que evoluciona el panorama de amenazas, asegurando que su inversión en ciberseguridad produzca resultados consistentes y medibles a lo largo del tiempo.

Comience a construir su estrategia hoy

Una estrategia sólida de ciberseguridad no necesita implementarse de la noche a la mañana, pero sí debe comenzar. Póngase en contacto con GLADiiUM Technology Partners para una Evaluación gratuita de estrategia de ciberseguridad para su organización.

Correo electrónico: [email protected] | [email protected]

Le puede interesar...

AVISO DE PRIVACIDAD

 
Última actualización: 27 de octubre de 2022
 
 
 
Este aviso de privacidad para GLADiiUM Technology Partners, Inc (“Empresa, ”nosotros, ”nosotros,” or “nuestro), describe cómo y por qué podemos recopilar, almacenar, usar y/o compartir (“proceso“) su información cuando utiliza nuestros servicios (“Servicios“), como cuando usted:
  • Visite nuestro sitio web en https://www.gladiium.com, o cualquier sitio web nuestro que enlace a este aviso de privacidad
 
  • Interactuar con nosotros de otras formas relacionadas, incluidas las ventas, el marketing o los eventos.
¿Preguntas o inquietudes? Leer este aviso de privacidad lo ayudará a comprender sus derechos y opciones de privacidad. Si no está de acuerdo con nuestras políticas y prácticas, no utilice nuestros Servicios. Si aún tiene alguna pregunta o inquietud, comuníquese con nosotros a [email protected].
 
 
RESUMEN DE PUNTOS CLAVE
 
Este resumen proporciona puntos clave de nuestro aviso de privacidad, pero puede encontrar más detalles sobre cualquiera de estos temas haciendo clic en el enlace que sigue a cada punto clave o utilizando nuestra tabla de contenido a continuación para encontrar la sección que está buscando. También puede hacer clic aquí para ir directamente a nuestra tabla de contenidos.
 
¿Qué datos personales tratamos? Cuando visita, usa o navega por nuestros Servicios, podemos procesar información personal según cómo interactúe con GLADiiUM Technology Partners, Inc y los Servicios, las elecciones que haga y los productos y funciones que use. Hacer clic aquí para aprender más.
 
¿Procesamos alguna información personal sensible? No procesamos información personal sensible.
 
¿Recibimos información de terceros? No recibimos ninguna información de terceros.
 
¿Cómo procesamos su información? Procesamos su información para proporcionar, mejorar y administrar nuestros Servicios, comunicarnos con usted, para seguridad y prevención de fraude, y para cumplir con la ley. También podemos procesar su información para otros fines con su consentimiento. Procesamos su información solo cuando tenemos una razón legal válida para hacerlo. Hacer clic aquí para aprender más.
 
¿En qué situaciones y con qué partes compartimos información personal? Podemos compartir información en situaciones específicas y con terceros específicos. Hacer clic aquí para aprender más.
 
¿Cómo mantenemos su información segura? Contamos con procesos y procedimientos organizativos y técnicos para proteger su información personal. Sin embargo, no se puede garantizar que ninguna transmisión electrónica a través de Internet o tecnología de almacenamiento de información sea 100% segura, por lo que no podemos prometer ni garantizar que los piratas informáticos, los ciberdelincuentes u otros terceros no autorizados no puedan vencer nuestra seguridad y recopilar, acceder de manera indebida. , robar o modificar su información. Hacer clic aquí para aprender más.
 
¿Cuáles son tus derechos? Dependiendo de dónde se encuentre geográficamente, la ley de privacidad aplicable puede significar que tiene ciertos derechos con respecto a su información personal. Hacer clic aquí para aprender más.
 
¿Cómo ejerces tus derechos? La forma más sencilla de ejercer sus derechos es rellenando nuestro formulario de solicitud de datos del interesado disponible aquí, o poniéndose en contacto con nosotros. Consideraremos y actuaremos sobre cualquier solicitud de acuerdo con las leyes de protección de datos aplicables.
 
¿Desea obtener más información sobre lo que hace GLADiiUM Technology Partners, Inc con la información que recopilamos? Hacer clic aquí para revisar el aviso en su totalidad.
 
 
TABLA DE CONTENIDO
 
 
1. ¿QUÉ INFORMACIÓN RECOPILAMOS?
 
Información personal que nos revela
 
En corto: Información personal que revelamos
 
Recopilamos información personal que usted nos proporciona voluntariamente cuando exprese interés en obtener información sobre nosotros o nuestros productos y Servicios, cuando participe en actividades en los Servicios, o de otra manera cuando se comunique con nosotros.
 
 
Información personal proporcionada por usted. La información personal que recopilamos depende del contexto de sus interacciones con nosotros y los Servicios, las elecciones que realiza y los productos y funciones que utiliza. La información personal que recopilamos puede incluir lo siguiente:
  • nombres
 
  • números telefónicos
 
  • correo electrónico
 
  • dirección de envío
 
Información sensible. No procesamos información sensible.
 
 
Toda la información personal que nos proporcione debe ser verdadera, completa y precisa, y debe notificarnos cualquier cambio en dicha información personal.
 
 
2. ¿CÓMO PROCESAMOS SU INFORMACIÓN?
 
En corto: Procesamos su información para proporcionar, mejorar y administrar nuestros Servicios, comunicarnos con usted, para seguridad y prevención de fraude, y para cumplir con la ley. También podemos procesar su información para otros fines con su consentimiento.
 

Procesamos su información personal por una variedad de razones, dependiendo de cómo interactúe con nuestros Servicios, que incluyen:

 
  • Para entregar y facilitar la entrega de servicios al usuario. Podemos procesar su información para brindarle el servicio solicitado.
 
  • Para responder a las consultas de los usuarios/ofrecer soporte a los usuarios. Podemos procesar su información para responder a sus consultas y resolver cualquier problema potencial que pueda tener con el servicio solicitado.
 
  • Para enviarle información administrativa. Podemos procesar su información para enviarle detalles sobre nuestros productos y servicios, cambios en nuestros términos y políticas, y otra información similar.
  • Para habilitar las comunicaciones de usuario a usuario. Podemos procesar su información si elige utilizar cualquiera de nuestras ofertas que permitan la comunicación con otro usuario.
 
  • Para salvar o proteger el interés vital de un individuo. Podemos procesar su información cuando sea necesario para salvar o proteger el interés vital de una persona, como para evitar daños.
 
 
3. ¿EN QUÉ BASES JURÍDICAS NOS APOYAMOS PARA TRATAR SU INFORMACIÓN?
 
En corto: Solo procesamos su información personal cuando creemos que es necesario y tenemos una razón legal válida (es decir, una base legal) para hacerlo según la ley aplicable, como con su consentimiento, para cumplir con las leyes, para brindarle servicios para entrar en o cumplir con nuestras obligaciones contractuales, para proteger sus derechos o para cumplir con nuestros intereses comerciales legítimos.
 
Si se encuentra en la UE o el Reino Unido, esta sección se aplica a usted.
 
El Reglamento General de Protección de Datos (GDPR) y el RGPD del Reino Unido nos exigen explicar las bases legales válidas en las que nos basamos para procesar su información personal. Como tal, podemos basarnos en las siguientes bases legales para procesar su información personal:
  • Consentimiento. Podemos procesar su información si nos ha dado permiso (es decir, consentimiento) para usar su información personal para un propósito específico. Puede retirar su consentimiento en cualquier momento. Hacer clic aquí para aprender más.
 
  • Ejecución de un Contrato. Podemos procesar su información personal cuando creamos que es necesario para cumplir con nuestras obligaciones contractuales con usted, incluida la prestación de nuestros Servicios o cuando lo solicite antes de celebrar un contrato con usted.
 
  • Obligaciones legales. Podemos procesar su información cuando creamos que es necesario para cumplir con nuestras obligaciones legales, como cooperar con un organismo encargado de hacer cumplir la ley o una agencia reguladora, ejercer o defender nuestros derechos legales, o divulgar su información como evidencia en un litigio en el que estamos involucrado.
 
  • Intereses Vitales. Podemos procesar su información cuando creamos que es necesario para proteger sus intereses vitales o los intereses vitales de un tercero, como situaciones que impliquen amenazas potenciales para la seguridad de cualquier persona.
 
 
Si se encuentra en Canadá, esta sección se aplica a usted.
 
Podemos procesar su información si nos ha dado permiso específico (es decir, consentimiento expreso) para usar su información personal para un propósito específico, o en situaciones en las que se puede inferir su permiso (es decir, consentimiento implícito). Puede retirar su consentimiento en cualquier momento. Hacer clic aquí para aprender más.
 
En algunos casos excepcionales, es posible que la ley aplicable nos permita procesar su información sin su consentimiento, incluidos, por ejemplo:
  • Si la recolección es claramente en interés de un individuo y no se puede obtener el consentimiento de manera oportuna
 
  • Para investigaciones y detección y prevención de fraudes
 
  • Para transacciones comerciales siempre que se cumplan ciertas condiciones
 
  • Para transacciones comerciales siempre que se cumplan ciertas condiciones
 
  • Para identificar personas lesionadas, enfermas o fallecidas y comunicarse con los familiares más cercanos
 
  • Si tenemos motivos razonables para creer que una persona ha sido, es o puede ser víctima de abuso financiero
 
  • Si es razonable esperar que la recopilación y el uso con consentimiento comprometería la disponibilidad o la precisión de la información y la recopilación es razonable para fines relacionados con la investigación de un incumplimiento de un acuerdo o una infracción de las leyes de Canadá o una provincia
 
  • Si se requiere la divulgación para cumplir con una citación, orden judicial, orden judicial o reglas de la corte relacionadas con la producción de registros
 
  • Si fue producido por un individuo en el curso de su empleo, negocio o profesión y la recopilación es consistente con los propósitos para los cuales se produjo la información
 
  • Si la colección tiene únicamente fines periodísticos, artísticos o literarios
 
  • Si la información está disponible públicamente y está especificada por las normas
 
 
4. ¿CUÁNDO Y CON QUIÉN COMPARTIMOS SU INFORMACIÓN PERSONAL?
 
En corto: Podemos compartir información en situaciones específicas descritas en esta sección y/o con los siguientes terceros.
 
 
Es posible que necesitemos compartir su información personal en las siguientes situaciones:
  • Transferencias Comerciales. Podemos compartir o transferir su información en relación con, o durante las negociaciones de, cualquier fusión, venta de activos de la empresa, financiación o adquisición de la totalidad o una parte de nuestro negocio a otra empresa.
 
  • Afiliados. Podemos compartir su información con nuestros afiliados, en cuyo caso les exigiremos que respeten este aviso de privacidad. Los afiliados incluyen nuestra empresa matriz y cualquier subsidiaria, socios de empresas conjuntas u otras empresas que controlamos o que están bajo control común con nosotros.
 
 
5. ¿UTILIZAMOS COOKIES Y OTRAS TECNOLOGÍAS DE SEGUIMIENTO?
 
En corto: Podemos utilizar cookies y otras tecnologías de seguimiento para recopilar y almacenar su información.
 
Podemos utilizar cookies y tecnologías de seguimiento similares (como beacons web y píxeles) para acceder o almacenar información. La información específica sobre cómo usamos dichas tecnologías y cómo puede rechazar ciertas cookies se establece en nuestro Aviso de cookies: https://gladiium.com/.
 
6. ¿CUÁNTO TIEMPO CONSERVAMOS SU INFORMACIÓN?
 
En corto: Conservamos su información durante el tiempo que sea necesario para cumplir con los propósitos descritos en este aviso de privacidad, a menos que la ley exija lo contrario.
 
Solo conservaremos su información personal durante el tiempo que sea necesario para los fines establecidos en este aviso de privacidad, a menos que la ley exija o permita un período de retención más largo (como impuestos, contabilidad u otros requisitos legales).
 
Cuando no tengamos una necesidad comercial legítima en curso para procesar su información personal, eliminaremos o anonimizaremos dicha información o, si esto no es posible (por ejemplo, porque su información personal se ha almacenado en archivos de respaldo), entonces lo haremos de manera segura. almacenar su información personal y aislarla de cualquier procesamiento posterior hasta que sea posible eliminarla.
 
7. ¿CÓMO MANTENEMOS SU INFORMACIÓN SEGURA?
 
En corto: Nuestro objetivo es proteger su información personal a través de un sistema de medidas de seguridad organizativas y técnicas.
 
Hemos implementado medidas de seguridad técnicas y organizativas apropiadas y razonables diseñadas para proteger la seguridad de cualquier información personal que procesemos. Sin embargo, a pesar de nuestras medidas de seguridad y esfuerzos para proteger su información, no se puede garantizar que ninguna transmisión electrónica a través de Internet o tecnología de almacenamiento de información sea 100 % segura, por lo que no podemos prometer ni garantizar que los piratas informáticos, ciberdelincuentes u otros terceros no autorizados no serán capaz de vencer nuestra seguridad y recopilar, acceder, robar o modificar su información de manera inapropiada. Aunque haremos todo lo posible para proteger su información personal, la transmisión de información personal hacia y desde nuestros Servicios es bajo su propio riesgo. Solo debe acceder a los Servicios dentro de un entorno seguro.
 
8. ¿RECOPILAMOS INFORMACIÓN DE MENORES?
 
En corto: No recopilamos a sabiendas datos de niños menores de 18 años ni los comercializamos.
 
No solicitamos a sabiendas datos ni comercializamos a niños menores de 18 años. Al usar los Servicios, usted declara que tiene al menos 18 años o que es el padre o tutor de dicho menor y da su consentimiento para el uso de los Servicios por parte de dicho menor dependiente. Si nos enteramos de que se ha recopilado información personal de usuarios menores de 18 años, desactivaremos la cuenta y tomaremos las medidas razonables para eliminar rápidamente dicha información de nuestros registros. Si tiene conocimiento de cualquier dato que podamos haber recopilado de niños menores de 18 años, contáctenos en [email protected].
 
9. ¿CUÁLES SON SUS DERECHOS DE PRIVACIDAD?
 
En corto: En algunas regiones, como el Espacio Económico Europeo (EEE), el Reino Unido (RU) y Canadá, tiene derechos que le permiten un mayor acceso y control sobre su información personal. Puede revisar, cambiar o cancelar su cuenta en cualquier momento.
 
En algunas regiones (como el EEE, el Reino Unido y Canadá), tiene ciertos derechos según las leyes de protección de datos aplicables. Estos pueden incluir el derecho (i) a solicitar acceso y obtener una copia de su información personal, (ii) a solicitar la rectificación o eliminación; (iii) para restringir el procesamiento de su información personal; y (iv) en su caso, a la portabilidad de los datos. En determinadas circunstancias, también puede tener derecho a oponerse al procesamiento de su información personal. Puede realizar dicha solicitud poniéndose en contacto con nosotros utilizando los datos de contacto proporcionados en la sección “¿CÓMO PUEDE CONTACTARNOS SOBRE ESTE AVISO?” abajo.
 
Consideraremos y actuaremos sobre cualquier solicitud de acuerdo con las leyes de protección de datos aplicables.
 
Si se encuentra en el EEE o el Reino Unido y cree que estamos procesando su información personal de manera ilegal, también tiene derecho a presentar una queja ante la autoridad supervisora ​​de protección de datos local. Puede encontrar sus datos de contacto aquí: https://ec.europa.eu/justice/data-protection/bodies/authorities/index_en.htm.
 
Si se encuentra en Suiza, los datos de contacto de las autoridades de protección de datos están disponibles aquí: https://www.edoeb.admin.ch/edoeb/en/home.html.
 
Retirar su consentimiento: Si confiamos en su consentimiento para procesar su información personal, que puede ser un consentimiento expreso o implícito según la ley aplicable, tiene derecho a retirar su consentimiento en cualquier momento. Puede retirar su consentimiento en cualquier momento poniéndose en contacto con nosotros utilizando los datos de contacto proporcionados en la sección “¿CÓMO PUEDE CONTACTARNOS SOBRE ESTE AVISO?” abajo.
 
Sin embargo, tenga en cuenta que esto no afectará la legalidad del procesamiento antes de su retiro ni, cuando la ley aplicable lo permita, afectará el procesamiento de su información personal realizado sobre la base de motivos de procesamiento legales distintos del consentimiento.
 
Optar por no recibir comunicaciones de marketing y promocionales: Puede darse de baja de nuestras comunicaciones promocionales y de marketing en cualquier momento haciendo clic en el enlace para darse de baja en los correos electrónicos que le enviamos, o poniéndose en contacto con nosotros utilizando los datos proporcionados en la sección “¿CÓMO PUEDE CONTACTARNOS SOBRE ESTE AVISO?" abajo. A continuación, será eliminado de las listas de marketing. Sin embargo, aún podemos comunicarnos con usted, por ejemplo, para enviarle mensajes relacionados con el servicio que son necesarios para la administración y el uso de su cuenta, para responder a solicitudes de servicio o para otros fines no comerciales.
 
Cookies y tecnologías similares: La mayoría de los navegadores web están configurados para aceptar cookies de manera predeterminada. Si lo prefiere, generalmente puede elegir configurar su navegador para eliminar cookies y rechazar cookies. Si elige eliminar las cookies o rechazarlas, esto podría afectar ciertas características o servicios de nuestros Servicios. Para excluirse de la publicidad basada en intereses de los anunciantes en nuestros Servicios, visite http://www.aboutads.info/choices/. Para obtener más información, consulte nuestro Aviso sobre cookies: https://gladiium.com/.
 
Si tiene preguntas o comentarios sobre sus derechos de privacidad, puede enviarnos un correo electrónico a [email protected].
 
10. CONTROLES PARA FUNCIONES DE NO SEGUIMIENTO
 
La mayoría de los navegadores web y algunos sistemas operativos móviles y aplicaciones móviles incluyen una función o configuración Do-Not-Track ("DNT") que puede activar para indicar su preferencia de privacidad para que no se supervisen ni recopilen datos sobre sus actividades de navegación en línea. En esta etapa no se ha finalizado ningún estándar de tecnología uniforme para reconocer e implementar señales DNT. Como tal, actualmente no respondemos a las señales del navegador DNT ni a ningún otro mecanismo que comunique automáticamente su elección de no ser rastreado en línea. Si se adopta un estándar para el seguimiento en línea que debemos seguir en el futuro, le informaremos sobre esa práctica en una versión revisada de este aviso de privacidad.
 
11. ¿LOS RESIDENTES DE CALIFORNIA TIENEN DERECHOS DE PRIVACIDAD ESPECÍFICOS?
 
En corto: Sí, si es residente de California, se le otorgan derechos específicos con respecto al acceso a su información personal.
 
La Sección 1798.83 del Código Civil de California, también conocida como la ley "Shine The Light", permite a nuestros usuarios que son residentes de California solicitar y obtener de nosotros, una vez al año y sin cargo, información sobre categorías de información personal (si corresponde) que a terceros con fines de marketing directo divulgados y los nombres y direcciones de todos los terceros con los que compartimos información personal en el año calendario inmediatamente anterior. Si es residente de California y desea realizar dicha solicitud, envíenos su solicitud por escrito utilizando la información de contacto que se proporciona a continuación.
 
Si tiene menos de 18 años, reside en California y tiene una cuenta registrada en los Servicios, tiene derecho a solicitar la eliminación de los datos no deseados que publica públicamente en los Servicios. Para solicitar la eliminación de dichos datos, comuníquese con nosotros utilizando la información de contacto que se proporciona a continuación e incluya la dirección de correo electrónico asociada con su cuenta y una declaración de que reside en California. Nos aseguraremos de que los datos no se muestren públicamente en los Servicios, pero tenga en cuenta que es posible que los datos no se eliminen completa o completamente de todos nuestros sistemas (por ejemplo, copias de seguridad, etc.).
 
CCPA Privacy Notice
 
El Código de Regulaciones de California define a un "residente" como:
 
(1) toda persona que se encuentre en el Estado de California por un motivo que no sea temporal o transitorio y
(2) todo individuo domiciliado en el Estado de California que se encuentre fuera del Estado de California por un propósito temporal o transitorio
 
Todos los demás individuos se definen como "no residentes".
 
Si esta definición de "residente" se aplica a usted, debemos cumplir con ciertos derechos y obligaciones con respecto a su información personal.
 
¿Qué categorías de información personal recopilamos?
 
Hemos recopilado las siguientes categorías de información personal en los últimos doce (12) meses:
 
CategoríaEjemplosColeccionado
A. Identificadores
Detalles de contacto, como nombre real, alias, dirección postal, número de contacto de teléfono o móvil, identificador personal único, identificador en línea, dirección de Protocolo de Internet, dirección de correo electrónico y nombre de cuenta
 
NO
 
B. Categorías de información personal enumeradas en el estatuto de registros de clientes de California
Nombre, información de contacto, educación, empleo, historial laboral e información financiera
 
NO
 
C. Características de clasificación protegidas bajo la ley federal o de California
Sexo y fecha de nacimiento
 
NO
 
D.Información comercial
Información de transacciones, historial de compras, detalles financieros e información de pago
 
NO
 
E.Información biométrica
Huellas dactilares y huellas de voz
 
NO
 
F. Internet u otra actividad de red similar
Historial de navegación, historial de búsqueda, comportamiento en línea, datos de interés e interacciones con nuestros y otros sitios web, aplicaciones, sistemas y anuncios
 
NO
 
G. Datos de geolocalización
Ubicación del dispositivo
 
NO
 
H. Información de audio, electrónica, visual, térmica, olfativa o similar
Imágenes y grabaciones de audio, video o llamadas creadas en relación con nuestras actividades comerciales
 
NO
 
I. Información profesional o laboral
Detalles de contacto comercial para brindarle nuestros Servicios a nivel comercial o título de trabajo, historial laboral y calificaciones profesionales si solicita un trabajo con nosotros
 
SI
 
J. Información educativa
Registros de estudiantes e información de directorio
 
NO
 
K. Inferencias extraídas de otra información personal
Inferencias extraídas de cualquier información personal recopilada enumerada anteriormente para crear un perfil o resumen sobre, por ejemplo, las preferencias y características de un individuo
 
NO
 
 
 
También podemos recopilar otra información personal fuera de estas categorías a través de instancias en las que interactúa con nosotros en persona, en línea, por teléfono o por correo en el contexto de:
  • Recibir ayuda a través de nuestros canales de atención al cliente;
 
  • Participación en encuestas o concursos de clientes; y
 
  • Facilitación en la prestación de nuestros Servicios y para responder a sus consultas.
¿Cómo usamos y compartimos su información personal?
 
Puede encontrar más información sobre nuestras prácticas de recopilación y uso compartido de datos en este aviso de privacidad y en nuestro Aviso de cookies: https://gladiium.com/.
 
Puede contactarnos por correo electrónico en [email protected], o refiriéndose a los detalles de contacto en la parte inferior de este documento.
 
Si está utilizando un agente autorizado para ejercer su derecho de optar por no participar, podemos denegar una solicitud si el agente autorizado no presenta pruebas de que ha sido autorizado válidamente para actuar en su nombre.
 
¿Se compartirá su información con alguien más?
 
Podemos divulgar su información personal a nuestros proveedores de servicios de conformidad con un contrato escrito entre nosotros y cada proveedor de servicios. Cada proveedor de servicios es una entidad con fines de lucro que procesa la información en nuestro nombre.
 
Podemos utilizar su información personal para nuestros propios fines comerciales, como para realizar investigaciones internas para el desarrollo y la demostración tecnológicos. Esto no se considera "vender" su información personal.
 
GLADiiUM Technology Partners, Inc. no ha divulgado ni vendido ninguna información personal a terceros con fines empresariales o comerciales en los doce (12) meses anteriores. GLADiiUM Technology Partners, Inc. no venderá información personal en el futuro perteneciente a los visitantes del sitio web, usuarios y otros consumidores.
 
Sus derechos con respecto a sus datos personales
 
Derecho a solicitar la supresión de los datos — Solicitud de supresión
 
Puede solicitar la eliminación de su información personal. Si nos solicita que eliminemos su información personal, respetaremos su solicitud y eliminaremos su información personal, sujeto a ciertas excepciones previstas por la ley, como (entre otras) el ejercicio por parte de otro consumidor de su derecho a la libertad de expresión. , nuestros requisitos de cumplimiento que resulten de una obligación legal, o cualquier procesamiento que pueda ser necesario para proteger contra actividades ilegales.
 
Derecho a ser informado—Solicitud de saber
 
Dependiendo de las circunstancias, usted tiene derecho a saber:
  • si recopilamos y usamos su información personal;
 
  • las categorías de información personal que recopilamos;
 
  • los propósitos para los cuales se utiliza la información personal recopilada;
 
  • si vendemos su información personal a terceros;
 
  • las categorías de información personal que vendimos o divulgamos con fines comerciales;
 
  • las categorías de terceros a quienes se vendió o divulgó la información personal con fines comerciales; y
 
  • el propósito empresarial o comercial para recopilar o vender información personal.
De acuerdo con la ley aplicable, no estamos obligados a proporcionar o eliminar la información del consumidor anonimizada en respuesta a una solicitud del consumidor ni a volver a identificar datos individuales para verificar la solicitud de un consumidor.
 
Derecho a la no discriminación para el ejercicio de los derechos de privacidad de un consumidor
 
No lo discriminaremos si ejerce sus derechos de privacidad.
 
Verificación del proceso
 
Al recibir su solicitud, necesitaremos verificar su identidad para determinar que usted es la misma persona sobre la que tenemos la información en nuestro sistema. Estos esfuerzos de verificación requieren que le pidamos que proporcione información para que podamos compararla con la información que nos ha proporcionado anteriormente. Por ejemplo, según el tipo de solicitud que envíe, es posible que le pidamos que proporcione cierta información para que podamos comparar la información que proporcione con la información que ya tenemos en el archivo, o podemos comunicarnos con usted a través de un método de comunicación (p. ej., teléfono o correo electrónico) que nos haya proporcionado previamente. También podemos utilizar otros métodos de verificación según lo dicten las circunstancias.
 
Solo utilizaremos la información personal proporcionada en su solicitud para verificar su identidad o autoridad para realizar la solicitud. En la medida de lo posible, evitaremos solicitarle información adicional con fines de verificación. Sin embargo, si no podemos verificar su identidad a partir de la información que ya mantenemos, podemos solicitarle que proporcione información adicional con el fin de verificar su identidad y con fines de seguridad o prevención del fraude. Eliminaremos dicha información adicional provista tan pronto como terminemos de verificarlo.
 
Otros derechos de privacidad
 
  • Puede oponerse al procesamiento de su información personal.
 
  • Puede solicitar la corrección de sus datos personales si son incorrectos o ya no son relevantes, o puede solicitar que se restrinja el procesamiento de la información.
 
  • Puede designar a un agente autorizado para que realice una solicitud en virtud de la CCPA en su nombre. Podemos denegar una solicitud de un agente autorizado que no presente prueba de que ha sido válidamente autorizado para actuar en su nombre de acuerdo con la CCPA.
 
  • Puede solicitar excluirse de la venta futura de su información personal a terceros. Al recibir una solicitud de exclusión voluntaria, actuaremos sobre la solicitud tan pronto como sea posible, pero a más tardar quince (15) días a partir de la fecha de presentación de la solicitud.
Para ejercer estos derechos, puede ponerse en contacto con nosotros por correo electrónico a [email protected], o refiriéndose a los detalles de contacto en la parte inferior de este documento. Si tiene una queja sobre cómo manejamos sus datos, nos gustaría saber de usted.
 
12. ¿HACEMOS ACTUALIZACIONES A ESTE AVISO?
 
En corto: Sí, actualizaremos este aviso según sea necesario para cumplir con las leyes pertinentes.
 
Es posible que actualicemos este aviso de privacidad de vez en cuando. La versión actualizada se indicará con una fecha "Revisada" actualizada y la versión actualizada entrará en vigencia tan pronto como sea accesible. Si realizamos cambios sustanciales a este aviso de privacidad, podemos notificarle ya sea publicando de manera destacada un aviso de dichos cambios o enviándole directamente una notificación. Le recomendamos que revise este aviso de privacidad con frecuencia para estar informado de cómo protegemos su información.
 
13. ¿CÓMO PUEDE CONTACTARNOS SOBRE ESTE AVISO?
 
Si tiene preguntas o comentarios sobre este aviso, puede envíenos un correo electrónico a [email protected] o por correo postal a:
 
GLADiiUM Technology Partners, Inc.
95 Merrick Way, 3rd Floor
Coral Gables, FL 33134
Estados Unidos
 
14. ¿CÓMO PUEDE REVISAR, ACTUALIZAR O ELIMINAR LOS DATOS QUE RECOPILAMOS DE USTED?
 
Tiene derecho a solicitar acceso a la información personal que recopilamos de usted, cambiar esa información o eliminarla. Para solicitar revisar, actualizar o eliminar su información personal, envíe un formulario de solicitud haciendo clic en aquí.
Esta política de privacidad se ha creado utilizando la política de privacidad de Termly. Privacy Policy Generator.