Jitterbit Medidas de Seguridad Técnicas y Organizativas

Efectivo a partir del 8 de diciembre de 2022

Última actualización: 20 de febrero de 2026

Las medidas de seguridad básicas Jitterbit Las medidas para proteger los datos del cliente se describen en este documento. Jitterbit Anexo de medidas de seguridad:

Noticias

Esta Jitterbit El documento Medidas de seguridad (las “Medidas de seguridad”) describe las salvaguardas administrativas, técnicas y físicas implementadas por Jitterbit para proteger los datos del cliente contra el acceso, la divulgación, la alteración o la destrucción no autorizados.

Estas medidas de seguridad respaldan Jitterbitsus obligaciones en virtud de los requisitos legales, reglamentarios y contractuales aplicables, incluidos, entre otros, SOC 1, SOC 2, ISO 27001, ISO 27017, ISO 27018, ISO 42001, HIPAA, GDPR, CCPA y NZISM.

Este documento forma parte de JitterbitEl marco general de seguridad y privacidad de la empresa se menciona en los acuerdos con los clientes, incluidos los Acuerdos de Procesamiento de Datos (APD) y los Acuerdos de Asociado Comercial (AAC). En caso de conflicto entre estas Medidas de Seguridad y un acuerdo con el cliente, prevalecerá este último en lo que respecta a su objeto.

Los términos en mayúscula no definidos aquí tienen los significados establecidos en el acuerdo o documentación aplicable.

Privacidad por diseño y privacidad por defecto

Privacidad por diseño
Jitterbit Incorpora consideraciones de privacidad y protección de datos a lo largo de todo el ciclo de vida de sus productos y servicios, incluidos los proyectos internos, el desarrollo de software, el diseño de infraestructura y las operaciones de TI.

Privacidad por defecto
Jitterbit Los productos y servicios se configuran por defecto con ajustes que protegen la privacidad. Los datos personales se recopilan, procesan y conservan únicamente en la medida necesaria para prestar el servicio, cumplir con las obligaciones contractuales y satisfacer los requisitos legales y reglamentarios.

1. Acceso y gestión de datos del cliente

1.1 Los clientes controlan el acceso a sus Jitterbit cuentas mediante identidades de usuario, controles de acceso basados ​​en roles y autenticación multifactor.

1.2 Jitterbit El personal no accede a los datos del cliente que no estén cifrados, a menos que el cliente lo autorice explícitamente para fines de soporte, resolución de problemas u operativos.

1.3 Jitterbit procesa los datos del cliente únicamente según las instrucciones del cliente, según sea necesario para proporcionar, mantener y respaldar el Jitterbit Aplicación de conformidad con el acuerdo aplicable.

1.4 Metadatos de la aplicación cliente y del proyecto generados por el Jitterbit La aplicación se aloja únicamente en la región geográfica de la que se origina (Norteamérica, EMEA o Asia-Pacífico), a menos que se acuerde contractualmente lo contrario.

1.5 Jitterbit mantiene diagramas de flujo de datos documentados que describen cómo fluyen los datos del cliente a través de la Jitterbit La aplicación proporciona dichos diagramas previa solicitud razonable.

2. Separación lógica de los datos del cliente

Jitterbit Garantiza la separación lógica de los datos del cliente mediante controles técnicos por capas, que incluyen:

  • Arquitecturas de bases de datos segmentadas con esquemas separados
  • Conexiones de servicio a servicio confiables y autenticadas
  • Cifrado de datos sensibles
  • Capas de filtrado lógico entre inquilinos y recursos compartidos
  • Mecanismos de control de acceso para restringir el acceso a los datos en función de la identidad y el rol

 

3. Gestión del acceso a la infraestructura de aplicaciones

3.1 Acceso a los sistemas e infraestructura que dan soporte a la Jitterbit La solicitud está restringida al personal autorizado en función de sus responsabilidades laborales y el principio de mínimo privilegio.

3.2 El acceso a los registros del sistema y de la aplicación está restringido al personal autorizado para fines de soporte operativo, resolución de problemas y monitoreo de seguridad.

3.3 El acceso administrativo requiere credenciales de usuario únicas, autenticación sólida y autenticación multifactor a través de conexiones seguras.

3.4 Los estándares de contraseñas de servidores e infraestructura cumplen o superan los requisitos reconocidos de la industria.

3.5 Los privilegios de acceso se revocan o ajustan inmediatamente en caso de terminación del contrato de trabajo o cambio de función.

3.6 El acceso de los usuarios a la infraestructura de producción se revisa periódicamente.

3.7 Los intentos de acceso y las acciones administrativas se registran y monitorean.

3.8 El acceso a la red está restringido mediante configuraciones de grupo de seguridad de denegación predeterminada.

3.9 Los firewalls y los controles de segmentación de red se utilizan para restringir el tráfico de entrada y salida.

3.10 Las herramientas de detección y monitoreo de intrusiones se utilizan para detectar actividad sospechosa o anómala.

4. Gestión de riesgos

4.1 Jitterbit Mantiene un programa formal de gestión de riesgos alineado con marcos de referencia reconocidos, como el NIST.

4.2 Se realizan evaluaciones de riesgos técnicos y no técnicos durante todo el año, incluidos análisis automatizados, revisiones internas y evaluaciones de terceros y pruebas de penetración.

4.3 Los resultados de la evaluación son revisados ​​por el liderazgo de seguridad y privacidad y monitoreados a través de procesos de remediación definidos.

4.4 Los riesgos identificados se priorizan y abordan mediante estrategias de remediación basadas en riesgos.

4.5 Se monitorean las fuentes de inteligencia sobre amenazas para identificar amenazas y vulnerabilidades emergentes.

5. Exploración de vulnerabilidades y pruebas de penetración

5.1 Se realizan escaneos de vulnerabilidades automatizados periódicamente en los sistemas que soportan el Jitterbit Solicitud.

5.2 Las vulnerabilidades detectadas se evalúan en función de su gravedad, explotabilidad e impacto comercial.

5.3 Las vulnerabilidades que cumplen con los umbrales de riesgo definidos se priorizan para su remediación.

5.4 Se realizan pruebas de penetración independientes de terceros al menos una vez al año.

5.5 Se realizan periódicamente pruebas de seguridad interna y actividades de revisión de código.

5.6 Las prácticas de desarrollo seguro incluyen gestión de dependencias, pruebas estáticas y dinámicas y seguimiento de remediación.

6. Acceso remoto y seguridad de puntos finales

6.1 El acceso administrativo a los entornos de nube requiere conexiones seguras y una autenticación sólida.

6.2 Los datos del cliente no se almacenan en los dispositivos locales de los empleados a menos que sea explícitamente requerido y estén protegidos por controles adecuados.

6.3 Se aplican medidas de protección de endpoints, endurecimiento de dispositivos y control de monitoreo. Jitterbit-dispositivos gestionados.

7. Ubicación de la aplicación y residencia de los datos

7.1 Los datos del cliente se almacenan en ubicaciones designadas. Jitterbit Regiones de aplicación (EE. UU., UE, APAC).

7.2 Los entornos de producción están diseñados para evitar la replicación entre regiones no autorizada.

7.3 Las configuraciones de recuperación ante desastres respetan los requisitos de residencia de datos a menos que se acuerde contractualmente lo contrario.

8. Registro y monitoreo de eventos del sistema

8.1 Las herramientas de monitoreo recopilan eventos de infraestructura, aplicaciones y seguridad.

8.2 Los registros están centralizados, protegidos contra manipulaciones y tienen acceso controlado.

8.3 Los períodos de retención de registros se definen en función de la criticidad del sistema, los requisitos reglamentarios y las necesidades operativas.

9. Administración del sistema, prevención de malware y gestión de parches

9.1 Los sistemas se fortalecen de acuerdo con las mejores prácticas de la industria.

9.2 Los sistemas operativos y las aplicaciones se parchean periódicamente.

9.3 Se implementan y mantienen controles de detección y prevención de malware.

9.4 Las vulnerabilidades de alto riesgo se priorizan para su remediación de acuerdo con plazos definidos.

10. Capacitación en seguridad y controles de personal

10.1 Todo el personal recibe capacitación sobre seguridad y privacidad al momento de su contratación y al menos una vez al año.

10.2 El personal reconoce la responsabilidad de informar sobre incidentes de seguridad sospechosos.

10.3 Se realizan actividades periódicas de concientización, incluidas simulaciones de phishing.

10.4 Se realizará una verificación de antecedentes cuando lo permita la ley.

10.5 Los terceros con acceso a los Datos del Cliente están obligados contractualmente a cumplir Jitterbit normas de seguridad

11. Seguridad física

El 11.1 Jitterbit La aplicación está alojada por proveedores de servicios en la nube que mantienen controles de seguridad física y certificaciones independientes.

11.2 Jitterbit Revisa anualmente los informes de garantía de terceros pertinentes.

12. Notificación de violación de seguridad

12.1 Una violación de seguridad incluye el acceso no autorizado o la divulgación de los Datos del Cliente, o el acceso no autorizado a los sistemas que procesan los Datos del Cliente.

12.2 Jitterbit Notifica a los Clientes afectados sin demora indebida, de conformidad con los requisitos contractuales y reglamentarios.

12.3 Las notificaciones incluyen detalles relevantes sobre el incidente y las acciones de respuesta.

12.4 Jitterbit Investiga, contiene y mitiga los incidentes de seguridad utilizando los procedimientos de respuesta a incidentes establecidos.

13. Recuperación ante desastres y continuidad del negocio

13.1 Jitterbit Mantiene planes documentados de recuperación ante desastres y continuidad del negocio.

13.2 Las capacidades de recuperación ante desastres se prueban periódicamente.

13.3 Los clientes son responsables de configurar sus propias estrategias de respaldo y entre regiones cuando corresponda.

14. Cumplimiento y garantía de seguridad

Jitterbit Mantiene evaluaciones y certificaciones independientes, que pueden incluir:

  • Informes SOC 1 y SOC 2
  • Certificación ISO 27001 (que también cubre los anexos ISO 27017 e ISO 27018)
  • Certificación ISO 42001
  • Cumplimiento de HIPAA para las obligaciones de los asociados comerciales
  • Programas de cumplimiento de GDPR, CCPA, LGPD y NZISM
  • Pruebas de penetración independientes y evaluaciones de vulnerabilidad

15. Implementación de agentes locales y en la nube

15.1 Jitterbit La nube está diseñada con sólidos controles de seguridad habilitados por defecto.

15.2 Las opciones de implementación del agente local permiten a los clientes procesar datos confidenciales dentro de sus propios entornos.

16. Cifrado de datos

16.1 Los datos del cliente en reposo se cifran mediante algoritmos de cifrado AES estándar de la industria.

16.2 Los datos del cliente en tránsito están protegidos mediante protocolos de comunicación seguros como TLS.

17. Controles de seguridad de inteligencia artificial

17.1 Jitterbit Aplica medidas de seguridad adicionales a las funciones y sistemas habilitados para IA.

17.2 Los modelos, configuraciones y conjuntos de datos de IA tienen acceso controlado y están protegidos contra modificaciones o extracciones no autorizadas.

17.3 Los datos relacionados con la IA se clasifican y manejan de acuerdo con Jitterbit Normas de protección de datos.

17.4 Los sistemas de IA se monitorean en términos de seguridad, integridad y anomalías operativas.

17.5 Las prácticas de gobernanza de la IA se alinean con los estándares emergentes, incluida la ISO 42001, y enfatizan la supervisión humana, la responsabilidad y el uso responsable.

17.6 Los sistemas de IA no utilizan ningún dato del cliente para entrenar los modelos LLM.

17.7 Agentes de IA y flujos de trabajo autónomos
Jitterbit Los agentes de IA y los flujos de trabajo autónomos operan dentro de límites definidos para garantizar un comportamiento seguro, auditable y responsable. Los clientes siguen siendo los controladores de datos y mantienen la flexibilidad de utilizar sus propios modelos de lenguaje a gran escala (LLM) o proveedores de IA preferidos a través de JitterbitMarco de conectividad de. Los agentes de IA están sujetos a estrictos controles de identidad, autenticación y autorización, con permisos limitados a las acciones mínimas requeridas. Toda la actividad del agente se registra, se supervisa y se audita. Los agentes de IA tienen prohibido acceder, procesar o extraer datos del cliente más allá de los casos de uso explícitamente autorizados. Las acciones automatizadas realizadas por los agentes de IA están diseñadas con supervisión humana, puntos de control de aprobación cuando corresponda y mecanismos a prueba de fallos para prevenir resultados no deseados o perjudiciales. Los agentes de IA se evalúan continuamente en cuanto a seguridad, integridad de los datos y cumplimiento con Jitterbitestándares de gobernanza de IA, protección de datos y gestión de riesgos.

18. Modelo de responsabilidad compartida

La seguridad es una responsabilidad compartida entre Jitterbit y sus clientes. Mientras Jitterbit Implementa controles de seguridad de plataforma robustos, los clientes son responsables de:

  • Administrar el acceso y las credenciales de los usuarios
  • Configurar funciones de seguridad dentro de sus cuentas
  • Gestionar sus propias estrategias de copia de seguridad y recuperación de datos

¿Tiene preguntas? Estamos aquí para ayudar.

Contáctenos