Cumplimiento de la GDPR

Easy Software se toma muy en serio la protección de datos personales. La normativa europea conocida como Reglamento General de Protección de Datos (GDPR) plantea una serie de retos a todas las organizaciones y se ha convertido en uno de los temas empresariales más resonantes.

Nuestra misión es proporcionar a los clientes de Easy Redmine y básicamente a toda la comunidad un software fiable que permita cumplir con todas las obligaciones de los procesadores de datos de forma eficiente.

Este documento tiene como propósito responder las siguientes preguntas:

  • Soy un Procesador de Datos, ¿cómo puedo cumplir con la GDPR en Easy Redmine?
  • Estoy empleando la nube de Easy Redmine, ¿cumple este servicio con la GDPR?
  • Necesito saber si Easy Software implementa todos los procesos de seguridad.

  1. Terminología

Easy Software es un fabricante de Easy Redmine.

Controlador de Datos – la entidad que determina los propósitos, condiciones y medios para el procesamiento de datos personales. Para el propósito de este documento, es tu organización.

Procesador de Datos – la entidad que procesa datos en nombre del Controlador de Datos; en este documento:

  • Clientes de la nube de Easy Redmine: Easy Software es el Procesador de Datos y los datos se procesan  en nuestros servicios en la nube según las reglas configuradas por ti, el Procesador de Datos, en nuestra aplicación de Easy Redmine en la nube.
  • Usuarios del propio servidor de Easy Redmine: Easy Software no es un Procesador de Datos. Pero Easy Redmine te ayudará a organizar tus datos correctamente.

Easy Redmine es una aplicación que podría o no ser empleada para procesar datos por parte del Controlador de Datos.

2. Introducción

Easy Software, como fabricante de Easy Redmine, introduce actualizaciones de Easy Redmine con el fin de ayudar a los Controladores de Datos a cumplir con sus obligaciones en virtud de la normativa GDPR.

Al mismo tiempo, para nuestros clientes en la nube, este documento proporciona información sobre Easy Software como Procesador de Datos.

Además, Easy Software declara que para la fecha de entrada en vigor de la GDPR, todos los procesos, contratos, proveedores, acceso a datos y otros cumplirán plenamente con los requisitos de la GDPR.

3. Easy Redmine para todos los Controladores de Datos

Las siguientes descripciones y características se implementarán/actualizarán hasta finales de abril de 2018.

Easy Redmine aporta las siguientes características para aumentar la seguridad de los datos y la demanda específica de GDPR a los Controladores de Datos.

  • Aplicación de la política de contraseña extendida
    • Definición para utilizar la longitud mínima, el uso de mayúsculas, números y caracteres especiales en la contraseña
    • Límite de tiempo para la validez de la contraseña y control de la repetición de la contraseña
    • Desconexión automática del usuario después de un período de tiempo

      Recientemente se ha añadido una función para volver a introducir la contraseña una vez que se manipulan los puestos y los privilegios de los usuarios.

  • Características específicas de la GDPR:
    • Derecho al olvido: eliminar el contacto es una característica tradicional, pero puede alterar la consistencia de los datos, informes, etc., ya que existe la posibilidad de vincular el contacto con proyectos, tareas, CRM y otras entidades. Además, corrompería los datos sobre el perfil de sus clientes. El Anonimato de Contactos permitiría eliminar datos de contacto que permitirían identificar a la persona, pero los datos anónimos sobre los servicios del cliente, tareas y otros permanecerán.
    • Derecho de acceso: Un botón específico que exportaría los datos de contacto en formato legible automatizado (XML) cumpliría con su obligación de proporcionar información personal sobre los datos que recopila.
  • Visibilidad limitada de los datos - es un requisito crítico de la GDPR pedir a los controladores de datos que limiten el acceso a los datos personales sólo a aquellas personas que ellos necesitan que tengan acceso. Easy Redmine aporta dos enfoques a este problema:
    • Una limitación para acceder a los contactos en general.
    • Una limitación para acceder a los contactos sólo para un tipo de contacto específico. Normalmente, todo el mundo puede acceder a Contactos con el tipo de Empresa (las empresas no están sujetas a GDPR) y limitar el acceso a Contactos con el tipo de Personal sólo a usuarios seleccionados. Así que el usuario sin permiso puede ver que hay un contacto vinculado (solo el nombre), pero no puede ver ningún otro dato que pueda permitir la identificación personal.
    • Visibilidad personalizada - ciertos datos pueden ser restringidos para ser vistos sólo por
      • a) Usuario / lista de usuarios
      • b) Grupo de usuarios / lista de grupos de usuarios
      • c) Tipo de usuario / lista de tipos de usuarios
    • Auditorías de las acciones del usuario
    • Easy Redmine proporciona registros completos sobre las acciones de los usuarios, incluido Ver acción.
    • Easy Redmine ofrece ahora una función para administrar los registros con el fin de cumplir con tu proceso interno.
  • Visibilidad limitada de los datos – se trata de un requisito esencial de la GDPR, que pide a los Controladores de Datos que limiten el acceso a datos personales.

Cómo cumplir con la GDPR paso a paso

  • Identifica los Datos Personales que se recogen en Easy Redmine.
  • Reglamentar internamente que todos los datos personales deben introducirse en los campos personalizados, no en los campos nativos de Easy Redmine. No obstante, se recomienda tomar la decisión de que todos los datos personales deben almacenarse sólo en Contactos.
    • Si quieres hacer uso del servicio de Anonimato, o Derecho al Olvido, debes tener en cuenta que todos los datos personales deben estar en Contactos.
    • Identifica qué datos están sujetos a borrado para Anonimato - puedes hacerlo en la configuración de archivos personalizados de Contactos.
    • Decide qué usuarios de Easy Redmine necesitan acceso a los contactos y limita el acceso por tipo de contacto.
    • Si necesitas que todos los usuarios accedan a todos los contactos, pero pero que algunos vean un conjunto de datos limitado, sólo tienes que configurar la visibilidad del campo personalizado.
  • Identifica qué campos personalizados fuera de los contactos deben protegerse y configura la visibilidad de los datos en consecuencia.
  • Aumenta la aplicación de la política de contraseñas de Easy Redmine.
  • Derecho al olvido:
    • Recomendamos definir una plantilla de proyecto que formalice todos los pasos para eliminar datos personales de todos los sistemas con el mayor detalle. Una vez que llegue una solicitud, puedes simplemente documentar que todos los pasos se realizaron de acuerdo a tu proceso interno.
  • Crea una regulación del tiempo necesario para mantener los datos de auditoría de las acciones del usuario (logs) y configurarlos en Easy Redmine.

    4. Easy Redmine en la nube

    Easy Software ofrece Easy Redmine como un servicio en la nube. Para los clientes en la nube, Easy Software actúa como Procesador de Datos. Como Procesador de Datos, cumplimos con los requisitos de la GDPR gracias a lo siguiente:

  • Easy Software ha implementado medidas técnicas y de proceso para limitar el acceso potencial a los datos sólo a una excepción y ocasiones solicitadas.
  • Si eres una organización de la UE, está garantizado que tu instancia de Easy Redmine (y por lo tanto los datos y sus copias de seguridad en los sitios de recuperación de desastres) se almacenan dentro de la UE.
  • Easy Software sólo utiliza centros de datos verificados con alta seguridad y todas las certificaciones ISO relevantes. Los detalles se pueden proporcionar a petición.
  • Se emplean copias de seguridad regulares, https para navegadores, encriptado SSH-2 para la transferencia de firewall de copias de seguridad limitados a HTTPS y otros ajustes habituales que cumplen con los requisitos de la GDPR. Puedes conocer más acerca de la nube aquí.
  • La seguridad puede aumentarse aún más con el servicio de nube privada, donde la seguridad individual puede ampliarse mediante una configuración individual del servidor dedicado (HW).
  • Easy Software Ltd. es una compañía del Reino Unido pero la normativa de la GDPR se ha implementado en todos los aspectos de una organización y para todos los productos y servicios.

5. Easy Software y tus datos personales

Easy Software es un fabricante de plataforma de gestión de proyectos. Easy Software es una organización comercial de empresa a empresa; esto significa que todos los datos recogidos sirven para apoyar el negocio y los servicios de Easy Software para las organizaciones.

De acuerdo con la normativa de la GDPR, hay datos de los individuos, así como aquellos que se consideran como datos, recopilados bajo la protección de la GDPR.

5.1. Datos personales recopilados

  • Nombre y apellido(s)
  • Teléfono
  • Dirección de correo electrónico
  • Empresa
  • Puesto en la empresa
  • Formaciones y certificaciones obtenidas para productos de Easy Software
  • Historial relacionado con la visita a páginas de productos de Easy Software.
  • Dirección IP

5.2. Propósito de la recopilación, tratamiento y perfilado de datos

Easy Software recopila datos con los siguientes propósitos:

  • Establecer una cooperación comercial con las organizaciones. Y, para ello, Easy Software puede recopilar datos sobre las personas de contacto en dichas organizaciones.
  • Proporcionar servicio a los clientes existentes (la organización) y con ese fin Easy Software puede recopilar datos sobre las personas de contacto en dichas organizaciones.
  • Informar a los clientes y a los clientes potenciales acerca de las nuevas funciones, lanzamientos y otros mensajes de carácter informativo y de marketing.

Recopilación:

  • Toda la información recopilada sobre las personas se recoge a través de formularios de contacto.
  • Easy Software no posee ni utiliza datos sobre individuos obtenidos de fuentes externas.

Combinación y perfilado de datos:

  • Easy Software no perfila a ningún individuo, todos los datos recopilados sirven sólo como información de contacto dentro de una organización.
  • Easy Software perfila organizaciones con fines comerciales y de marketing. No sujeto a estos análisis.
  • Easy Software combina todos los datos en el propio sistema de información (Easy Redmine) en Entity Contact o Entity CRM. Cualquier otro sistema utiliza sólo fragmentos de datos y, por lo tanto, no se consideran datos con arreglo la GDPR.

Principios de procesamiento de datos personales

Descubre Easy Redmine con la prueba gratuita de 30 días

Versión completa, certificado SSL, backups diarios, ubicación In your Geo