Preguntas Frecuentes

Phished ha implementado y mantiene uno de los sistemas de gestión de seguridad de la información más conocidos del mundo: ISO/IEC 27001. Cumplimos plenamente con esta norma y contamos con la certificación correspondiente. Nuestro número de registro de certificado es 30050399, válido desde el 27/09/2024 hasta el 26/09/2027, con una Declaración de Aplicabilidad con fecha del 13/08/2024 (versión 2.0).

Además de la ISO 27001, Phished cuenta con un informe ISAE 3000 (SOC 2 Tipo II), Certificado Cyber Essentials y opera de conformidad con los requisitos ISO/IEC 27701, NIS2 y DORA.

Phished también cumple plenamente con el RGPD, lo que garantiza que todas las actividades de tratamiento de datos cumplan los estrictos requisitos del Reglamento General de Protección de Datos. Además, aplicamos las mejores prácticas del sector en áreas como el cifrado de datos, el control de acceso y los procesos de desarrollo seguro, lo que garantiza la protección de los datos de los clientes en todo momento.

Más información en nuestra página sobre cumplimiento normativo.

Phished concede una gran importancia a la privacidad de los usuarios y la protección de datos. La plataforma cumple plenamente con el RGPD y se adhiere a principios fundamentales como la minimización de datos y la limitación de la finalidad. Esto significa que Phished solo recopila los datos personales estrictamente necesarios para prestar sus servicios, como simulaciones de phishing, módulos de formación e informes de análisis, y solo los utiliza para ese fin.

Aunque Phished utiliza ciertos atributos de los usuarios (por ejemplo, idioma, región, puesto de trabajo) para personalizar las simulaciones y el contenido de la formación, esto se hace a través de procesos automatizados que no dan lugar a decisiones con efectos legales o similares sobre las personas. El objetivo es ofrecer contenido relevante y realista, respetando plenamente la privacidad de los usuarios y evitando la elaboración de perfiles intrusivos.

Para más detalles, puede consultar nuestra política de privacidad.

Phished aplica múltiples capas de seguridad para proteger el acceso a la plataforma y la autenticación de los usuarios. Todas las sesiones de los usuarios están protegidas con cifrado TLS/SSL, lo que garantiza una transferencia segura de datos entre los usuarios y la plataforma.

Se aplica la autenticación multifactor (MFA) a las cuentas de administrador para evitar el acceso no autorizado. La plataforma también admite el inicio de sesión único (SSO) a través de SAML 2.0, lo que permite a las organizaciones integrar Phished con su proveedor de identidad existente para una autenticación de usuarios optimizada y segura.

Además, el control de acceso basado en roles (RBAC) garantiza que los usuarios solo tengan acceso a las funciones y los datos relevantes para su función. Phished implementa la gestión de sesiones, la supervisión de inicios de sesión y el registro de actividades para ayudar a detectar comportamientos sospechosos. Las evaluaciones de seguridad periódicas y las pruebas de penetración garantizan la seguridad de la plataforma.

Nuestro enfoque integral de la ciberseguridad hace hincapié en una estrategia meticulosa y proactiva. Al alinear estrechamente el proceso de aplicación de parcheos con la gravedad y las posibles consecuencias de las vulnerabilidades, garantizamos una respuesta sistemática y eficiente.

Además, nuestra estrategia va más allá de la simple aplicación de parcheos, ya que abarca la supervisión y la evaluación continuas para adelantarnos a los riesgos emergentes. Creemos en un marco de ciberseguridad holístico que no solo aborda las preocupaciones inmediatas, sino que también sienta las bases para la resiliencia a largo plazo.

Además, Phished emplea un enfoque multicapa para el análisis de vulnerabilidades:

- Escaneo automático de vulnerabilidades: escáner de vulnerabilidades en línea que analiza diariamente las debilidades de ciberseguridad en nuestra infraestructura digital y detecta amenazas emergentes. Las alertas instantáneas nos permiten abordar las amenazas con rapidez, minimizando la ventana de exposición y mejorando la resiliencia general de la ciberseguridad.

- Hackers éticos: Aprovechamos un programa profesional que involucra a hackers éticos en la identificación continua de debilidades de ciberseguridad dentro de nuestra infraestructura digital. Nuestro programa invita a investigadores de seguridad de todo el mundo a participar activamente en la detección y notificación de vulnerabilidades. Este enfoque proactivo y transparente fomenta un ciclo de mejora continua, mejorando la resiliencia de nuestros sistemas frente a las amenazas emergentes.

- Política de divulgación responsable: Creemos que la colaboración con la comunidad de investigación en seguridad es crucial para identificar y abordar las posibles vulnerabilidades de nuestros sistemas y aplicaciones. Fomentamos la divulgación responsable de cualquier problema de seguridad descubierto y agradecemos la ayuda de los investigadores de seguridad para mantener un entorno seguro para todos. Nuestra política de divulgación responsable describe las directrices para informar de vulnerabilidades de seguridad a Phished, junto con nuestro archivo security.txt.

- Pruebas de penetración físicas: además de las protecciones digitales, Phished realiza pruebas de penetración físicas periódicas para evaluar la resiliencia de nuestra infraestructura física y nuestros procedimientos operativos. Estas pruebas simulan intentos de intrusión reales para evaluar los controles de acceso, la concienciación de los empleados y los protocolos de seguridad a nivel de instalación.

En Phished, todos los datos de los usuarios se almacenan en centros de datos altamente seguros ubicados tanto en Europa como en Norteamérica. Esta configuración garantiza el cumplimiento de los más altos estándares internacionales en materia de privacidad, seguridad y protección legal, incluyendo el RGPD y otras normativas aplicables.

Las aplicaciones de Phished se alojan como aplicaciones distribuidas basadas en contenedores en Google Cloud Platform (GCP) en Bélgica. Nuestras bases de datos de producción backend están alojadas en la misma región. Las ubicaciones de las bases de datos de alta disponibilidad para la conmutación por error se encuentran en la misma región, pero en otra zona.

Puede consultar una lista detallada de los subencargados del tratamiento en nuestro Acuerdo de tratamiento de datos. Tenemos acuerdos de tratamiento de datos con todos nuestros subencargados del tratamiento, de conformidad con el artículo 28 del RGPD. Estos acuerdos incluyen cláusulas contractuales tipo para la transferencia de datos a terceros países. Los centros de datos principales de nuestros subencargados del tratamiento se encuentran en el EEE, pero pueden transferir datos fuera del Espacio Económico Europeo si su oficina principal se encuentra en los Estados Unidos. Sin embargo, todos los datos personales se cifran siempre en reposo y en tránsito para garantizar su seguridad. Hemos realizado una evaluación de impacto relativa a la protección de datos (EIPD) y una evaluación de impacto relativa a la transferencia de datos (EITD) para cada subencargado del tratamiento, y cumplen con las normas ISO27001 y SOC2.