Medidas Técnicas y Organizativas (TOMs) de PhotoRobot
Este documento define las Medidas Técnicas y Organizativas (TOMs) de PhotoRobot conforme al Artículo 32 GDPR: Versión 1.0 – Edición PhotoRobot, uni-Robot Ltd., República Checa. El documento ha sido actualizado por última vez a 31 de diciembre de 2025 y respalda el cumplimiento de las obligaciones contractuales de PhotoRobot bajo la DPA y la SLA.
1. Introducción - PhotoRobot TOMs
Este documento describe las Medidas Técnicas y Organizativas (TOMs) implementadas por uni-Robot Ltd. (PhotoRobot) para garantizar un nivel adecuado de seguridad para el tratamiento de datos personales de acuerdo con el artículo 32 del Reglamento General de Protección de Datos (RGPD).
Estas medidas se aplican a la operación de los servicios de PhotoRobot, incluyendo pero no limitándose a:
- PhotoRobot Controla la Nube
- PhotoRobot Cloud 2.0
- PhotoRobot controla localmente (cuando está conectado a servicios en la nube)
- APIs y servicios en línea relacionados
- Infraestructura de apoyo y sistemas internos
Este documento sirve como descripción autorizada de los TOMs de PhotoRobot y puede ser referenciado en Acuerdos de Procesamiento de Datos (DPA), auditorías y revisiones de seguridad empresarial.
2. Alcance y aplicabilidad
Los TOMs descritos aquí se aplican a:
- Datos personales procesados en nombre de los clientes como parte de los servicios de PhotoRobot
- Datos operativos internos necesarios para proporcionar, mantener y asegurar los servicios
Las medidas están diseñadas teniendo en cuenta:
- El estado del arte
- Costes de implementación
- La naturaleza, alcance, contexto y propósitos del tratamiento
- Los riesgos para los derechos y libertades de las personas físicas
3. Medidas de seguridad organizativa
3.1. Gobernanza de la Seguridad de la Información
PhotoRobot mantiene políticas y procedimientos internos que regulan la seguridad de la información, la protección de datos y el uso aceptable de los sistemas.
Las responsabilidades en materia de seguridad y protección de datos están claramente definidas dentro de la organización, incluyendo los contactos designados para asuntos de privacidad y legales.
3.2. Confidencialidad y concienciación de los empleados
- Los empleados y contratistas están sujetos a obligaciones de confidencialidad
- El acceso a los sistemas se concede en función de la necesidad de saber
- La concienciación sobre seguridad y protección de datos se promueve como parte de la incorporación y las operaciones continuas
4. Control de acceso y autorización
4.1. Control de Acceso Basado en Roles (RBAC)
El acceso a los sistemas y a los datos de los clientes se controla mediante principios de control de acceso basado en roles (RBAC ).
- A los usuarios se les conceden los privilegios mínimos necesarios para realizar sus tareas
- El acceso administrativo está restringido al personal autorizado
4.2. Autenticación
- Se utilizan mecanismos de autenticación fuertes tanto para sistemas internos como externos
- Las políticas de contraseñas y las credenciales de acceso se gestionan de forma segura
- No se deben compartir las credenciales de acceso
5. Infraestructura y seguridad de redes
5.1. Alojamiento e infraestructura en la nube
Los servicios de PhotoRobot están alojados en proveedores profesionales de infraestructura en la nube (por ejemplo, Google Cloud Platform), que implementan controles de seguridad física y ambiental estándar en la industria.
5.2. Protección de la red
- El tráfico de red está protegido mediante cortafuegos y controles de acceso
- Los servicios de atención pública están aislados de los sistemas internos
- Los componentes de infraestructura se monitorizan para detectar disponibilidad y eventos de seguridad
6. Cifrado y protección de datos
6.1. Datos en tránsito
- Los datos transmitidos entre clientes y servicios PhotoRobot se cifran usando TLS/HTTPS
- Se aplican canales de comunicación seguros para APIs e interfaces en la nube
6.2. Datos en reposo
- Los datos almacenados en la infraestructura en la nube están protegidos mediante mecanismos de cifrado proporcionados por el proveedor de alojamiento
- El acceso a los datos almacenados está restringido a sistemas y personal autorizados
7. Registro, Monitorización y Detección de Incidentes
7.1. Registro
- Se generan registros del sistema para eventos operativos y relevantes para la seguridad
- Los registros se utilizan para la resolución de problemas, la monitorización y el análisis de incidentes
7.2. Monitorización
- Los servicios se monitorizan para disponibilidad, rendimiento y anomalías
- Se activan alertas en caso de comportamiento anormal o interrupción del servicio
8. Respuesta a incidentes y gestión de brechas
PhotoRobot mantiene procedimientos para gestionar incidentes de seguridad, incluidas las brechas de datos personales.
Estos procedimientos incluyen:
- Identificación y evaluación de incidentes
- Medidas de mitigación y contención
- Escalada interna
- comunicación con los clientes cuando fuera necesario
- cumplimiento de las obligaciones de notificación de infracciones del RGPD (Artículos 33 y 34 del RGPD)
9. Copia de seguridad, disponibilidad y continuidad del negocio
9.1. Copias de seguridad
- Las copias de seguridad de datos se realizan como parte de las operaciones estándar en la nube
- Las copias de seguridad se utilizan para la recuperación ante desastres y la continuidad del servicio
9.2. Disponibilidad
- Se hacen esfuerzos razonables para mantener una alta disponibilidad de servicios
- Las actividades de mantenimiento planificado pueden causar interrupciones temporales del servicio
Los detalles sobre los objetivos de disponibilidad y los tiempos de respuesta se describen por separado en los Acuerdos de Nivel de Servicio (SLAs) aplicables.
10. Desarrollo seguro y gestión del cambio
10.1. Prácticas de Desarrollo Seguras
PhotoRobot sigue procesos estructurados de desarrollo y despliegue, que incluyen:
- separación de los entornos de desarrollo, pruebas y producción cuando sea apropiado
- Procedimientos de despliegue controlados
- Control de versiones y seguimiento de cambios
10.2. Actualizaciones y parches
- Los componentes de software se actualizan para abordar vulnerabilidades de seguridad
- Las actualizaciones críticas se priorizan en función de la evaluación de riesgos
11. Subprocesadores y terceros
PhotoRobot puede involucrar subprocesadores para apoyar la prestación de servicios (por ejemplo, alojamiento, servicios de correo electrónico).
- Los subprocesadores se seleccionan en función de sus prácticas de seguridad y protección de datos
- Se mantiene una lista actual de subprocesadores por separado y se pone a disposición pública
12. Seguridad física
El acceso físico a servidores y centros de datos es gestionado por el proveedor de infraestructura en la nube e incluye:
- Controles de acceso
- Vigilancia y monitorización
- Protecciones medioambientales
PhotoRobot no opera sus propios centros de datos.
13. Minimización y retención de datos
- Solo se procesan los datos necesarios para la prestación del servicio
- Los datos personales solo se conservan mientras sea necesario para fines contractuales, legales u operativos
- Los periodos de eliminación y conservación de datos se definen en las políticas y acuerdos correspondientes
14. Reseña y actualizaciones
Estas Medidas Técnicas y Organizativas se revisan periódicamente y se actualizan según sea necesario para reflejar:
- Cambios tecnológicos
- Cambios en los servicios
- Requisitos de seguridad y normativa en evolución
Los cambios materiales pueden comunicarse a los clientes según corresponda.
15. Información de contacto
Para preguntas sobre estas medidas técnicas y organizativas:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praga 1
República Checa
Correo electrónico: legal@photorobot.com
Nota final
Estos TOMs describen las medidas técnicas y organizativas actuales de PhotoRobot y están destinados a proporcionar transparencia y garantía a los clientes. No constituyen una garantía de servicio ininterrumpido ni de seguridad absoluta, sino que reflejan un enfoque basado en riesgos y proporcionado para la protección de datos y la seguridad de la información.