Soporte de la Regulación de protección de datos general (GDPR)

El Reglamento General de Protección de Datos, o RGPD, es una ley de la Unión Europea (UE) que regula cómo las organizaciones dentro y fuera de la UE manejan los datos personales de los residentes de la UE. Establece un nuevo estándar a nivel mundial en materia de derechos de privacidad, seguridad de la información y cumplimiento normativo. Establece un marco normativo más estricto para la protección de datos en el tratamiento de datos personales de individuos, y afecta a los contratos, políticas y procedimientos de IBM y IBM en lo que respecta al tratamiento de datos personales. IBM Considera que la privacidad es un derecho fundamental y que el RGPD es un paso importante para proteger y garantizar los derechos de privacidad de las personas.

GDPR aporta:
  • Derechos nuevos y mejorados para los individuos
  • Definición ampliada de los datos personales
  • Nuevas obligaciones para los procesadores
  • Posibilidad de sanciones económicas importantes por incumplimiento
  • Notificación de infracción de datos obligatoria

IBM Sterling® Order Management El sistema proporciona compatibilidad con el RGPD a través de una capa de servicio del Marco de definición de servicios (SDF). La aplicación proporciona un conjunto de servicios SDF para procesar datos personales. Sin embargo, es su responsabilidad manejar los datos personales en la interfaz de usuario de la aplicación de acuerdo con sus necesidades empresariales. Además, si desea ver los datos relacionados con el RGPD en la interfaz de usuario proporcionada por la aplicación, deberá personalizarla según las necesidades de su empresa.

Nota: Los clientes son responsables de garantizar su propio cumplimiento con diversas leyes y normativas, incluido el Reglamento General de Protección de Datos de la Unión Europea. Los clientes son los únicos responsables de obtener asesoramiento legal competente por lo que respecta a la identificación e interpretación de cualquier ley o normativa relevante que pueda afectar a los negocios del cliente y cualquier acción que tuvieran que realizar los clientes para cumplir con dichas leyes y normativas.

Los productos, servicios y otras funcionalidades descritos en este documento no son adecuados para todas las situaciones del cliente y podrían tener una disponibilidad limitada. IBM no proporciona asesoramiento legal, contable o de auditoría ni representa ni garantiza que sus servicios o productos garantizarán que los clientes cumplan ninguna ley o normativa.

IBM Sterling Order Management System proporciona servicios SDF para dar soporte al procesamiento de datos personales de conformidad con el GDPR. Obtenga más información sobre la preparación para el GDPR de IBMy nuestras prestaciones y ofertas del GDPR aquí: https://ibm.com/gdpr.

Roles y responsabilidades

En virtud del Reglamento General de Protección de Datos (RGPD) (Reglamento (UE)), existen las siguientes funciones y responsabilidades.
Responsable del Tratamiento de Datos
El responsable del tratamiento determina los fines y los medios del tratamiento de los datos personales. Los clientes actúan como responsables del tratamiento de datos y determinan la base jurídica, el periodo de conservación y el alcance del tratamiento.
Procesador de datos
Un encargado del tratamiento trata datos personales por cuenta del responsable del tratamiento. IBM actúa únicamente como procesador de datos para la aplicación del sistema Sterling™ Order Management y no está obligado a registrarse como controlador de datos en la Oficina del Comisionado de Información del Reino Unido (ICO) para este servicio.

Clasificación industrial: Software / Computación en la nube / Servicios de tecnología de la información.

Código de Clasificación Industrial Estándar (SIC): 7372 - Software preempaquetado.

Seudonimización

"seudonimización": el tratamiento de datos personales de tal manera que los datos personales ya no puedan atribuirse a un interesado específico sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

Como consecuencia, cuando sus clientes llaman a un CSR para obtener su información sobre la aplicación o solicitar que se olvide su información o que deje de procesar más, el representante del servicio al cliente (CSR) debe hacer las preguntas adecuadas para asegurarse de que los detalles proporcionados por el interlocutor coinciden con los registros del cliente en el sistema. Las preguntas pueden estar relacionadas con la verificación de dirección, el último artículo solicitado, la fecha en la que se realizó el último pedido, los últimos 4 dígitos de la tarjeta de crédito, etc.

Supuestos y limitaciones de la implementación del GDPR

  • Los servicios SDF se llaman para un individuo, identificado de forma única en la aplicación IBM Sterling Order Management System. Puede ser un invitado, un usuario registrado o una organización empresarial. Sin embargo, solo se puede llamar al servicio después de una verificación exhaustiva por parte del representante de servicio al cliente (CSR) u otro medio de relación con el cliente.

  • El protocolo de verificación y autorización para una persona no está cubierto como parte de esta característica y se basa en la implementación personalizada.
  • La supresión de los datos personales de la persona solicitante se realiza borrando los campos de información de identificación personal de los datos existentes, de forma que IBM Sterling Order Management System sigue conservando los campos restantes que son necesarios para el análisis estadístico existente. Por lo tanto, la supresión sólo se aplica a los campos sensibles y los datos conservados en IBM Sterling Order Management System serían anónimos.
  • La supresión selectiva o restricción de los campos de los datos personales debe llevarse a cabo sólo si la persona autorizada solicitante no tiene ningún dato comercial en necesidad que dependa de los datos personales. Por lo tanto, se debe llamar a los servicios SDF de supresión o restricción sólo si la persona autorizada no tiene datos empresariales necesarios para pedidos u oportunidades. Los servicios de GDPR encuentran datos de negocio en necesidad basándose en los criterios siguientes:
    • Los pedidos asociados con los datos personales, que no están completos (es decir, el distintivo OrderComplete no es igual a Y), continúan según los datos empresariales necesarios.
    • Las oportunidades asociadas con los datos personales continúan como datos empresariales en necesidad.
  • Después de suprimir los datos personales del cliente, si el mismo cliente necesita devolver uno de sus pedidos, la dirección de correo electrónico y el número de teléfono del cliente ya no están disponibles en el sistema para identificar sus pedidos. En tal caso, el cliente debe proporcionar los detalles del pedido real. Sin embargo, la supresión del registro de cliente no se produce cuando hay al menos un pedido en estado no completo.
  • La información no personal capturada durante el registro del cliente en el sistema o con el pedido del cliente se depurará según la política de empresa. Esto no se vería afectado por las directrices del GDPR.
  • Antes de restringir los datos personales para un cliente registrado, se recomienda que se ejecute la API de manageCustomer para cambiar el estado del cliente a 'Inactivo'. Esto garantiza que no se creen nuevos pedidos para el cliente con datos restringidos.
  • Para un cliente no registrado con datos personales restringidos, se puede crear un nuevo pedido capturando de nuevo la información del cliente, por lo que no es necesaria la eliminación de la restricción para un cliente no registrado.
  • IBM proporciona servicios de fondo para dar soporte a las actividades de GDPR. Puede invocar estos servicios para casos de uso de GDPR relevantes a través de cualquier interfaz de usuario o portal externos para aplicaciones creadas en IBM Sterling Order Management System.

Directrices recomendadas

Directrices recomendadas para dar soporte a GDPR.
  • Cuando el rastreo de depuración o detallado está habilitado, los XML de entrada y salida de la API se envían a los archivos de registro. Además, una API añade suficiente información a los archivos de registro para que el registro generado se pueda utilizar para el análisis y la resolución de problemas. La entrada y salida de determinadas API tienen datos personales confidenciales. De forma similar, el contenido de resolución de problemas añadido al archivo de registro también puede tener los datos personales confidenciales. Estos archivos de registro están fuera del ámbito de los servicios de GDPR mencionados anteriormente. Por lo tanto, se recomienda enmascarar estos datos personales confidenciales durante el propio registro para evitar almacenar información confidencial en cualquier archivo. Más información...
    Nota: Se recomienda enmascarar todos los datos personales o los datos personales confidenciales que se incluyen en los campos o tablas ampliados.
  • Según el requisito de GDPR, se recomienda que los datos de información de la persona se depuren regularmente.
  • Los requisitos de supervisión de auditoría y acceso que se deben mantener en torno a la información del cliente se deben implementar en los sucesos AFTER_CREATE_CUSTOMER, AFTER_MODIFY_CUSTOMER y AFTER_DELETE_CUSTOMER para que los datos se almacenen en un repositorio seguro y cifrado que sea compatible con la oficina de privacidad del cliente.
  • Sterling Order Management El marco de interfaz de usuario del sistema permite reorganizar formularios y paneles con controles de acceso para paneles individuales. Se recomienda al Cliente que utilice este marco junto con los eventos de interfaz de usuario HTML para conservar la información de acceso en un repositorio seguro y cifrado que sea compatible con la oficina de privacidad del cliente.
  • Los clientes no deben incluir ningún dato personal en los paquetes de personalización.

Ejemplo de caso de uso

Adriana es de Génova, Italia. Ella es fan de los productos de Toga y ha comprado cosas de su tienda. Ella quiere saber qué información está almacenando Toga sobre ella. Ella entra en una tienda de Toga y le dice a que quiere esta información.

Estos son los pasos que debe seguir un CSR para recuperar los datos de Adriana para el GDPR:
  1. Ella entra en una tienda de Toga y le dice a una CSR que quiere esta información.
  2. CSR le pide detalles básicos como nombre, apellido o ID de cliente, para validarla en el sistema.
  3. La aplicación pasa esta información a las API, getPersonInfoList o getCutomerList, para buscar los registros de cliente coincidentes existentes en el sistema.
  4. A continuación, el CSR le solicita más detalles como, por ejemplo, el número de teléfono, la dirección de correo electrónico o el último pedido realizado para validar su identidad. Este paso es importante para asegurarse de que tiene derechos para acceder a los datos.
  5. Proporciona los datos necesarios para la validación. Una vez que la CSR ha confirmado que es la propietaria de los datos, la CSR pasa la información recopilada en el paso 2 al servicio GDPR_Get_Data para obtener los datos personales adecuados y los datos empresariales dependientes del sistema.

Derechos del interesado

El RGPD otorga a las personas físicas («interesados») los siguientes derechos.
  • Derecho de acceso
  • Derecho de rectificación
  • Derecho de supresión
  • Derecho a la limitación del tratamiento
  • Derecho a la portabilidad de datos
  • Derecho a oponerse

Los clientes inician y gestionan estas solicitudes. Sterling Order Management El sistema proporciona API y herramientas para recuperar, actualizar, exportar, restringir o eliminar datos personales con el fin de garantizar el cumplimiento de estos derechos.

Controles de seguridad e infraestructura

Transferencias de datos
Los datos personales se transfieren continuamente a través de integraciones de aplicaciones seguras utilizando API REST cifradas y sistemas de mensajería. Todas las transferencias de datos se realizan a través de canales cifrados TLS 1.2 + y se procesan en entornos IBM Cloud.
Controles de acceso
El acceso está estrictamente limitado al personal autorizado mediante el control de acceso basado en roles (RBAC), los principios de privilegios mínimos y la autenticación multifactorial. Todo acceso a los datos de los clientes queda registrado y es auditable.
Residencia de datos
Los datos de los clientes se alojan en regiones seleccionadas de IBM Cloud. Las copias de seguridad y las réplicas permanecen dentro del mismo límite geográfico, a menos que se configure lo contrario.
Ubicaciones operativas
El personal de apoyo puede operar desde Estados Unidos, Canadá y la India.
Formación del personal
Las políticas de protección de datos y seguridad de la información de IBM abarcan el tratamiento seguro de los datos personales, el control de acceso, el cifrado, la respuesta ante incidentes y los principios de privacidad desde el diseño. Estas políticas se ajustan al marco de Seguridad y Privacidad por Diseño ( SPbD ) de IBM y se revisan al menos una vez al año. Todo el personal que maneja datos personales recibe formación obligatoria anual sobre privacidad y seguridad. Para obtener más información sobre la privacidad desde el diseño ( SPbD ) aplicada a los servicios en la nube de IBM Order Management, consulte: https://www.ibm.com/docs/en/order-management?topic=security privacy by design spbd.
Notificación de incidencias
Se notifica a los clientes en un plazo de 24 horas tras la confirmación de cualquier incidente de seguridad que afecte a los datos personales.
Subencargados del tratamiento
IBM no utiliza subprocesadores para el procesamiento del sistema Sterling Order Management. La política estándar de IBM es asumir toda la responsabilidad por todo el procesamiento y garantizar el cumplimiento de las leyes de protección de datos aplicables.
Certificaciones y asistencia en auditorías
IBM Cloud y el sistema Sterling Order Management mantienen certificaciones reconocidas, entre ellas ISO/IEC 27001 y SOC 2 Tipo II. IBM Apoya las auditorías realizadas por clientes o terceros autorizados y proporciona la documentación de cumplimiento pertinente cuando se le solicita. Para más información, consulte el siguiente enlace: https://www.ibm.com/docs/en/order-management?topic=compliance-soc-1-soc-2.
Solicitudes gubernamentales
IBM Divulga los datos de los clientes solo cuando así lo exige la ley y notifica a los clientes cuando está permitido.

Períodos de conservación

Los datos personales solo se conservan durante el periodo de conservación configurado por el cliente. Al vencimiento, los datos se eliminan permanentemente del almacenamiento primario y se programa su eliminación de las copias de seguridad.

Eliminación de copias de seguridad y réplicas

Las solicitudes de eliminación se propagan a todas las copias de seguridad y réplicas de acuerdo con los calendarios de purga definidos para garantizar la eliminación completa de los datos personales.

Datos sensibles y tecnologías de seguimiento

Sterling Order Management El sistema no está diseñado para procesar datos personales de categoría especial o sensibles (como datos sanitarios o biométricos). El servicio no utiliza cookies, píxeles ni tecnologías de seguimiento en los dispositivos de los usuarios finales.