Seguridad y cumplimiento

Reglamento General de Protección de Datos (RGPD)

El RGPD entró en vigor en Europa el 25 de mayo de 2018 y es una normativa que protege los derechos de las personas con respecto a los datos personales y la privacidad de los datos vinculados a ellas.

Como organización con una gran presencia europea, GTT se toma muy en serio el RGPD y cuenta con rigurosos controles de seguridad que cumplen con el RGPD. Seguimos las directrices de la propia normativa y también estamos alineados con metodologías, marcos y estándares de seguridad reconocidos internacionalmente.

A continuación encontrará información completa sobre seguridad y cumplimiento.

La mayoría de los estándares y marcos para la seguridad de la información se centran en las personas, los procesos y la tecnología. Además, las mismas normas tienen controles específicos relacionados con la seguridad física de los equipos utilizados para almacenar o acceder a la información. Para obtener más información sobre el RGPD y cómo lo cumplimos, lea nuestras preguntas frecuentes a continuación.

CERTIFICACIONES DE SEGURIDAD

ISO 27001

ISO 27001 es una norma reconocida a nivel internacional considerada como una referencia por la mayoría de las organizaciones y profesionales de la seguridad. La norma ISO 27001 contiene los controles de seguridad básicos que otras normas utilizan como base. GTT cumple con la norma ISO 27001: 2022 en múltiples ubicaciones; consulte la lista de certificaciones para obtener más información.

La serie ISO 27001 se centra en toda la pila de seguridad de la información. Se tienen en cuenta todos los aspectos de seguridad de la información que rodean a los elementos centrales de las personas, los procesos, la organización y la tecnología. También dispone de controles específicos en torno a la seguridad física relativos al acceso físico a los equipos que contienen información o que pueden utilizarse para acceder a la propia información.

La norma en sí se centra fundamentalmente en la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) que ayuda a garantizar que una organización comprenda su estrategia de seguridad de la información y se esfuerce por mejorarla continuamente.

GTT utiliza un enfoque de mejora continua de la seguridad para todos los objetivos de seguridad de la información. Esto incluye la identificación, clasificación, control y mantenimiento continuos de los riesgos. El ciclo de vida de GTT se basa en el ciclo de vida de Edward Deming (Plan, Do, Check y Act (PDCA), que es reconocido internacionalmente y utilizado por numerosas normas y marcos.

GTT es objeto de evaluaciones y auditorías periódicas por parte de terceros independientes con arreglo a la norma ISO 27001 para garantizar el mantenimiento continuo de un alto nivel de exigencia.

INFORMES SOC 1 Y SOC 2

SOC proviene de "Service Organization Control" (control de la organización de los servicios). Los informes de garantía de servicio SOC1 y SOC 2 son elaborados por terceros independientes (auditores) en función del marco de control definido.

Un informe SOC1 examina los controles de una organización de servicios que son relevantes para el control interno de una entidad usuaria sobre la información financiera. Está destinado específicamente a satisfacer las necesidades de los clientes que requieren garantía sobre la eficacia de los controles de la organización de servicios en los estados financieros de los clientes. El alcance del SOC 1 de GTT incluye servicios de hosting y VDC gestionados.

Un informe de auditoría SOC 2 proporciona información detallada y garantía sobre la seguridad, la disponibilidad, la integridad del tratamiento y los controles de confidencialidad, en función de su cumplimiento con los TSC (criterios de servicios de confianza) del AICPA (American Institute of Certified Public Accountants). El alcance del SOC 2 de GTT incluye SD-WAN y los servicios de Troncal SIP.

PCI DSS

La norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) es una norma de seguridad de la información regulada por el Consejo de normas de seguridad PCI. El Consejo fue fundado por las principales marcas de pago: American Express, Discover, Visa, JCB y MasterCard. Su objetivo es desarrollar y mantener estándares comunes que fomenten la seguridad de los datos de los titulares de tarjetas y faciliten la adopción generalizada de medidas de seguridad de datos consistentes en todo el sector.

La PCI DSS se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago. Esto incluye comerciantes, procesadores, adquirentes, emisores y proveedores de servicios. La PCI DSS también se aplica a todas las demás entidades que almacenan, tratan o transmiten datos del titular de la tarjeta y/o datos de autenticación confidenciales.

Si desea solicitar la certificación de cumplimiento (AOC) y el modelo de responsabilidad PCI DSS de GTT, póngase en contacto con su gestor de cuentas.

CERTIFICACIONES DEL SECTOR PÚBLICO DEL REINO UNIDO

PSN

La Red de Servicios Públicos (PSN, por sus siglas en inglés) es la red de alto rendimiento del gobierno del Reino Unido, que ayuda a las organizaciones del sector público a trabajar juntas, reducir la duplicación y compartir recursos. Para lograr el cumplimiento de la PSN, un proveedor de servicios también debe estar certificado según la norma ISO 27001.

PSN nos permite prestar servicios a organizaciones del sector público con estatus OFICIAL. GTT se conecta a la Red de Comunicaciones del Gobierno (GCN, por sus siglas en inglés), que es el núcleo de la PSN. GTT está comprometida con la PSN como un servicio valioso para nuestros clientes del gobierno del Reino Unido.

CUMPLIMIENTO GENERAL

ISO 20000

ISO 20000 es una norma global que describe los requisitos para un sistema de gestión de servicios de tecnología de la información (ITSM). La norma se desarrolló para reflejar las mejores prácticas descritas en el marco de la Biblioteca de Infraestructura de TI (ITIL).

Esta norma internacional de gestión de servicios de TI (ITSM) permite a las organizaciones de TI (ya sean internas, subcontratadas o externas) garantizar que sus procesos de ITSM estén alineados tanto con las necesidades del negocio como con las mejores prácticas internacionales.

ISO 20000 ayuda a las organizaciones a comparar la forma en que brindan servicios gestionados, medir los niveles de servicio y evaluar su rendimiento. En líneas generales, está en consonancia con ITIL y se inspira en ella.

ESTRATEGIA FISCAL DE GTT COMMUNICATIONS INC.

Esta declaración de política cubre el negocio de GTT Communications Inc. ("GTT" o la "Empresa") en el Reino Unido y está destinada a satisfacer el requisito de publicación de la estrategia fiscal del Reino Unido en virtud del Anexo 19 de la Ley de Finanzas 2016.

Enfoque de GTT para la gestión y gobernanza del riesgo fiscal

GTT se compromete a (i) cumplir con las leyes fiscales de manera responsable y (ii) construir y mantener relaciones de trabajo profesionales y constructivas con las autoridades fiscales basadas en principios de transparencia y confianza mutuas. Estos compromisos, que se explican con más detalle a continuación, se aplican a todos los países y empleados.

El Departamento Fiscal de GTT gestiona, revisa e informa de forma proactiva sobre los riesgos fiscales y emplea a un experimentado equipo fiscal que forma parte de la función financiera central que depende del director financiero ("CFO"). La responsabilidad diaria de estas funciones recae en el vicepresidente fiscal ("VP fiscal"), que depende del CFO. El Comité de Auditoría de la empresa supervisa las políticas y asuntos fiscales de esta a través de revisiones periódicas.

El equipo fiscal, que está dirigido por el vicepresidente fiscal, es responsable de la gestión diaria de los asuntos fiscales, a menos que la responsabilidad se devuelva claramente y se acepte en otro lugar. Cualquier decisión que se tome con respecto a cuestiones fiscales inciertas está sujeta a un cuidado profesional diligente y al juicio del equipo fiscal, pero también después de consultar y justificar la decisión con los equipos de gestión locales e internacionales. En aquellas situaciones en las que el nivel de incertidumbre es alto, el Departamento Fiscal recurrirá a asesores externos para ayudar a evaluar los riesgos.

La Compañía administra los costos fiscales a través de la maximización de la eficiencia fiscal de las transacciones comerciales. Esto incluye aprovechar los incentivos y exenciones fiscales disponibles. Esto se hace de una manera que está alineada con los objetivos comerciales de la Empresa y cumple con sus obligaciones legales y estándares éticos. Esto también debe hacerse de forma que la Empresa crea razonablemente que no es contraria a las intenciones claras de la legislación en cuestión.

El enfoque de GTT para la planificación fiscal

GTT reconoce que es responsable de pagar una cantidad adecuada de impuestos en el Reino Unido. Frente a esto, GTT debe equilibrar sus responsabilidades para maximizar sus rendimientos sostenibles para los accionistas. GTT no llevará a cabo ninguna planificación fiscal que no pueda ser sostenida por los requisitos comerciales del grupo y que no tenga fundamento económico. GTT no llevará a cabo ninguna planificación fiscal a menos que considere que la estrategia cumple con la legislación fiscal y que es más probable que tenga éxito.

El enfoque de GTT para construir y mantener relaciones con las autoridades fiscales

La empresa se ha comprometido a establecer relaciones de trabajo constructivas con la HMRC basadas en una política de información completa para eliminar la incertidumbre en sus transacciones comerciales y permitir a las autoridades examinar los posibles riesgos.

Se buscará asesoramiento fiscal de asesores externos en relación con transacciones materialmente inciertas o cuando el departamento fiscal no tenga el nivel de experiencia requerido en un área en particular. Cualquier opinión fiscal recibida es una ayuda, no un reemplazo, del juicio profesional que debe ejercer el equipo. Cuando proceda, se buscarán soluciones basadas en las mejores prácticas o se analizará la cuestión con la HMRC, ya que la mejor manera de evitar costosas disputas es llegar a un consenso sobre las cuestiones por adelantado.

CERTIFICADOS DEL CENTRO DE OPERACIONES

Q. ¿A quién afecta el RGPD?

Un. El Reglamento General de Protección de Datos (RGPD) no solo se aplica a las organizaciones ubicadas dentro de la UE, sino que también se aplicará a las organizaciones ubicadas fuera de la UE si ofrecen bienes o servicios a los interesados de la UE o supervisan su comportamiento.

Q. ¿Cuáles son las sanciones por incumplimiento?

R. Las organizaciones pueden ser sancionadas con hasta el 4 % de la facturación global anual por infringir el RGPD o 20 millones de euros, lo que sea mayor. Esta es la sanción máxima que se puede imponer por las infracciones más graves. Es importante tener en cuenta que estas normas se aplican tanto a los responsables como a los encargados del tratamiento, lo que significa que el RGPD somete a los encargados del tratamiento de datos a una responsabilidad directa en determinadas circunstancias, por ejemplo, en relación con una vulneración de la seguridad de los datos, y a responsabilidad solidaria ante los interesados en caso de que el responsable del tratamiento de datos sea culpable.

P. ¿Qué son los datos personales?

R. Cualquier información relacionada con una persona, que pueda ser utilizada para identificar directa o indirectamente a esa persona. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o la dirección IP de un ordenador.

Q. ¿Cuenta GTT con la certificación RGPD?

R. El RGPD es un reglamento que, si entra en su ámbito de aplicación, las organizaciones deben cumplir. En este momento, no existen criterios de certificación aprobados ni organismos de certificación acreditados para emitir certificados RGPD. GTT cuenta con la certificación ISO 27001:2022 del Sistema de Gestión de Seguridad de la Información y nuestras medidas técnicas y organizativas se basan en el ciclo PDCA. GTT se somete a evaluaciones y auditorías regularmente llevadas a cabo por terceros independientes para garantizar que se mantengan y mejoren continuamente los más altos estándares de seguridad.

Q. ¿Cómo cumple GTT con el RGPD?

R. Nuestros clientes eligen trabajar con nosotros porque un pilar fundamental para el éxito de nuestro negocio es nuestro sólido marco de privacidad de datos. Garantiza el cumplimiento de las leyes vigentes de privacidad y protección de datos y fomenta una cultura de buenas prácticas en la gestión de datos. Como proveedor de servicios de telecomunicaciones, nos adherimos a la Directiva sobre Privacidad y Comunicaciones Electrónicas, y también seguimos la estricta legislación de telecomunicaciones específica de cada país, que a veces puede prevalecer sobre el RGPD.

GTT aplica lo que consideramos tecnología punta para proteger los datos que conservamos en nombre de nuestros clientes. Mediante la implementación adicional de políticas, procedimientos y procesos detallados que están certificados como conformes con las normas de seguridad de datos más rigurosas aceptadas por el sector, estamos plenamente comprometidos a proporcionar soluciones conformes, multijurisdiccionales, segregadas y seguras para todos nuestros clientes. GTT también está alineado con numerosos esquemas de certificación conocidos, como ISO 27001 y PCI-DSS. GTT se compromete a cumplir con estas normas y aplica sólidos controles técnicos, físicos y de ciberseguridad.

P. ¿Cómo lleva a cabo GTT los aspectos técnicos clave del RGPD, como la "privacidad mediante el diseño" o la evaluación de impacto relativa a la protección de datos (EIPD)?

R. GTT lleva a cabo evaluaciones de impacto en la privacidad de los datos en todos los aspectos de su negocio, tanto internamente como para los productos utilizados por nuestros clientes. GTT aplica la privacidad desde el diseño a través de procesos de gobernanza, como los paneles de arquitectura, y como un hito clave al comienzo de cada proyecto.

P. ¿Se puede adaptar mi solución o servicio de GTT a las necesidades de cumplimiento del RGPD de mi organización?

R. Sí, GTT puede adaptar cualquier servicio a medida para los requisitos de nuestros clientes y para cumplir con el RGPD. Tenemos varias ofertas de ciberseguridad que pueden ayudar a nuestros clientes a lograr un alto nivel de madurez en ciberseguridad y, con ello, el cumplimiento del RGPD.

Q. ¿Dónde puedo obtener más información sobre el cumplimiento del RGPD en GTT? ¿Cómo puedo solicitar a GTT asistencia en materia de protección de datos personales?

R. GTT ha establecido una Política de Privacidad que recomendamos que lean nuestros clientes, empleados, agentes, contratistas y proveedores. El propósito de esta Política es describir cómo GTT recopilará y gestionará la información personal de acuerdo con todas las legislaciones de privacidad pertinentes. GTT cuenta con un equipo de Protección de Datos responsable de garantizar el cumplimiento del RGPD. Puede ponerse en contacto con el equipo de Protección de Datos por correo electrónico a: [email protected]

NUESTRA CALIFICACIÓN EN GARTNER

4,2

62 reseñas

88 %

en los últimos 12 meses

Hable con un experto

¿Le interesa obtener más información sobre los productos y servicios de GTT? Rellene este breve formulario para programar una llamada con uno de nuestros asesores de Ventas.

Gracias por su información. Uno de nuestros asesores de Ventas se pondrá en contacto con usted.