Ctrlk

RGPD

Introducción

La Pasarela de Pagos de Comercio Electrónico (EGW) cumple plenamente con el Reglamento General de Protección de Datos (GDPR), garantizando que los datos personales se gestionen de forma segura y transparente. El cumplimiento abarca tanto los modelos de entrega de Servicio Gestionado como On-Premises, abordando los estándares de protección, tratamiento y conservación de datos.

Cumplimiento GDPR en Servicio Gestionado

Tieto presta un servicio conforme al GDPR para EGW cuando se aloja como Servicio Gestionado. El Acuerdo de Tratamiento de Datos (DPA), complementado por anexos de especificación del tratamiento, define claramente las prácticas de gestión de datos. El DPA establece:

  • Roles y responsabilidades del tratamiento de datos: Definir claramente los roles del responsable del tratamiento de datos (cliente) y del encargado del tratamiento (Tietoevry).

  • Políticas de conservación de datos: Garantizar que los datos personales se almacenen solo durante el tiempo necesario.

  • Derechos del interesado: Permitir el acceso, la rectificación y la supresión de los datos previa solicitud.

  • Gestión de incidentes: Planes de respuesta inmediata ante brechas de datos.

Cumplimiento GDPR en On-Premises

Cuando EGW se despliega en las instalaciones del cliente, este (banco, PSP o centro de procesamiento) asume toda la responsabilidad como responsable del tratamiento de datos. Tieto proporciona directrices y mejores prácticas para garantizar que las instalaciones locales sigan cumpliendo con el GDPR:

  • Cifrado de datos: Uso de cifrado en reposo y en tránsito para proteger los datos personales.

  • Minimización de datos: Almacenar solo los datos necesarios para el procesamiento.

  • Control de acceso: Permisos basados en roles para restringir el acceso a los datos.

  • Registro de auditoría: Mantener registros detallados del acceso a los datos y de las actividades de tratamiento.

Medidas de protección de datos

  • Cifrado: Todos los datos personales se cifran utilizando AES-256 para los datos en reposo y TLS 1.3 para los datos en tránsito.

  • Anonimización y seudonimización: Reducir la exposición de los datos en caso de acceso no autorizado.

  • Controles de acceso: Acceso granular basado en roles a la información sensible.

  • Integridad de los datos: Validación periódica de datos y comprobaciones de integridad.

AnteriorISOSiguienteServicio gestionado

Última actualización

¿Te fue útil?