Soporte de la Regulación de protección de datos general (GDPR)
El Reglamento General de Protección de Datos, o RGPD, es una ley de la Unión Europea (UE) que regula cómo las organizaciones dentro y fuera de la UE manejan los datos personales de los residentes de la UE. Establece un nuevo estándar a nivel mundial en materia de derechos de privacidad, seguridad de la información y cumplimiento normativo. Establece un marco normativo más estricto para la protección de datos en el tratamiento de datos personales de individuos, y afecta a los contratos, políticas y procedimientos de IBM y IBM en lo que respecta al tratamiento de datos personales. IBM Considera que la privacidad es un derecho fundamental y que el RGPD es un paso importante para proteger y garantizar los derechos de privacidad de las personas.
- Derechos nuevos y mejorados para los individuos
- Definición ampliada de los datos personales
- Nuevas obligaciones para los procesadores
- Posibilidad de sanciones económicas importantes por incumplimiento
- Notificación de infracción de datos obligatoria
IBM Sterling® Order Management El sistema proporciona compatibilidad con el RGPD a través de una capa de servicio del Marco de definición de servicios (SDF). La aplicación proporciona un conjunto de servicios SDF para procesar datos personales. Sin embargo, es su responsabilidad manejar los datos personales en la interfaz de usuario de la aplicación de acuerdo con sus necesidades empresariales. Además, si desea ver los datos relacionados con el RGPD en la interfaz de usuario proporcionada por la aplicación, deberá personalizarla según las necesidades de su empresa.
Los productos, servicios y otras funcionalidades descritos en este documento no son adecuados para todas las situaciones del cliente y podrían tener una disponibilidad limitada. IBM no proporciona asesoramiento legal, contable o de auditoría ni representa ni garantiza que sus servicios o productos garantizarán que los clientes cumplan ninguna ley o normativa.
IBM Sterling Order Management System proporciona servicios SDF para dar soporte al procesamiento de datos personales de conformidad con el GDPR. Obtenga más información sobre la preparación para el GDPR de IBMy nuestras prestaciones y ofertas del GDPR aquí: https://ibm.com/gdpr.
Roles y responsabilidades
- Responsable del Tratamiento de Datos
- El responsable del tratamiento determina los fines y los medios del tratamiento de los datos personales. Los clientes actúan como responsables del tratamiento de datos y determinan la base jurídica, el periodo de conservación y el alcance del tratamiento.
- Procesador de datos
- Un encargado del tratamiento trata datos personales por cuenta del responsable del tratamiento. IBM actúa únicamente como procesador de datos para la aplicación del sistema Sterling™ Order Management y no está obligado a registrarse como controlador de datos en la Oficina del Comisionado de Información del Reino Unido (ICO) para este servicio.
Clasificación industrial: Software / Computación en la nube / Servicios de tecnología de la información.
Código de Clasificación Industrial Estándar (SIC): 7372 - Software preempaquetado.
Seudonimización
"seudonimización": el tratamiento de datos personales de tal manera que los datos personales ya no puedan atribuirse a un interesado específico sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
Como consecuencia, cuando sus clientes llaman a un CSR para obtener su información sobre la aplicación o solicitar que se olvide su información o que deje de procesar más, el representante del servicio al cliente (CSR) debe hacer las preguntas adecuadas para asegurarse de que los detalles proporcionados por el interlocutor coinciden con los registros del cliente en el sistema. Las preguntas pueden estar relacionadas con la verificación de dirección, el último artículo solicitado, la fecha en la que se realizó el último pedido, los últimos 4 dígitos de la tarjeta de crédito, etc.
Supuestos y limitaciones de la implementación del GDPR
Directrices recomendadas
Ejemplo de caso de uso
Adriana es de Génova, Italia. Ella es fan de los productos de Toga y ha comprado cosas de su tienda. Ella quiere saber qué información está almacenando Toga sobre ella. Ella entra en una tienda de Toga y le dice a que quiere esta información.
- Ella entra en una tienda de Toga y le dice a una CSR que quiere esta información.
- CSR le pide detalles básicos como nombre, apellido o ID de cliente, para validarla en el sistema.
- La aplicación pasa esta información a las API,
getPersonInfoListogetCutomerList, para buscar los registros de cliente coincidentes existentes en el sistema. - A continuación, el CSR le solicita más detalles como, por ejemplo, el número de teléfono, la dirección de correo electrónico o el último pedido realizado para validar su identidad. Este paso es importante para asegurarse de que tiene derechos para acceder a los datos.
- Proporciona los datos necesarios para la validación. Una vez que la CSR ha confirmado que es la propietaria de los datos, la CSR pasa la información recopilada en el paso 2 al servicio
GDPR_Get_Datapara obtener los datos personales adecuados y los datos empresariales dependientes del sistema.
Derechos del interesado
- Derecho de acceso
- Derecho de rectificación
- Derecho de supresión
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad de datos
- Derecho a oponerse
Los clientes inician y gestionan estas solicitudes. Sterling Order Management El sistema proporciona API y herramientas para recuperar, actualizar, exportar, restringir o eliminar datos personales con el fin de garantizar el cumplimiento de estos derechos.
Controles de seguridad e infraestructura
- Transferencias de datos
- Los datos personales se transfieren continuamente a través de integraciones de aplicaciones seguras utilizando API REST cifradas y sistemas de mensajería. Todas las transferencias de datos se realizan a través de canales cifrados TLS 1.2 + y se procesan en entornos IBM Cloud.
- Controles de acceso
- El acceso está estrictamente limitado al personal autorizado mediante el control de acceso basado en roles (RBAC), los principios de privilegios mínimos y la autenticación multifactorial. Todo acceso a los datos de los clientes queda registrado y es auditable.
- Residencia de datos
- Los datos de los clientes se alojan en regiones seleccionadas de IBM Cloud. Las copias de seguridad y las réplicas permanecen dentro del mismo límite geográfico, a menos que se configure lo contrario.
- Ubicaciones operativas
- El personal de apoyo puede operar desde Estados Unidos, Canadá y la India.
- Formación del personal
- Las políticas de protección de datos y seguridad de la información de IBM abarcan el tratamiento seguro de los datos personales, el control de acceso, el cifrado, la respuesta ante incidentes y los principios de privacidad desde el diseño. Estas políticas se ajustan al marco de Seguridad y Privacidad por Diseño ( SPbD ) de IBM y se revisan al menos una vez al año. Todo el personal que maneja datos personales recibe formación obligatoria anual sobre privacidad y seguridad. Para obtener más información sobre la privacidad desde el diseño ( SPbD ) aplicada a los servicios en la nube de IBM Order Management, consulte: https://www.ibm.com/docs/en/order-management?topic=security privacy by design spbd.
- Notificación de incidencias
- Se notifica a los clientes en un plazo de 24 horas tras la confirmación de cualquier incidente de seguridad que afecte a los datos personales.
- Subencargados del tratamiento
- IBM no utiliza subprocesadores para el procesamiento del sistema Sterling Order Management. La política estándar de IBM es asumir toda la responsabilidad por todo el procesamiento y garantizar el cumplimiento de las leyes de protección de datos aplicables.
- Certificaciones y asistencia en auditorías
- IBM Cloud y el sistema Sterling Order Management mantienen certificaciones reconocidas, entre ellas ISO/IEC 27001 y SOC 2 Tipo II. IBM Apoya las auditorías realizadas por clientes o terceros autorizados y proporciona la documentación de cumplimiento pertinente cuando se le solicita. Para más información, consulte el siguiente enlace: https://www.ibm.com/docs/en/order-management?topic=compliance-soc-1-soc-2.
- Solicitudes gubernamentales
- IBM Divulga los datos de los clientes solo cuando así lo exige la ley y notifica a los clientes cuando está permitido.
Períodos de conservación
Los datos personales solo se conservan durante el periodo de conservación configurado por el cliente. Al vencimiento, los datos se eliminan permanentemente del almacenamiento primario y se programa su eliminación de las copias de seguridad.
Eliminación de copias de seguridad y réplicas
Las solicitudes de eliminación se propagan a todas las copias de seguridad y réplicas de acuerdo con los calendarios de purga definidos para garantizar la eliminación completa de los datos personales.
Datos sensibles y tecnologías de seguimiento
Sterling Order Management El sistema no está diseñado para procesar datos personales de categoría especial o sensibles (como datos sanitarios o biométricos). El servicio no utiliza cookies, píxeles ni tecnologías de seguimiento en los dispositivos de los usuarios finales.