Adenda de Tratamiento de Datos de Marzipan

Anexo A: Estándares de Seguridad de Marzipan

Esta es una traducción proporcionada únicamente por conveniencia. La versión en inglés es el texto oficial y legalmente vinculante; en caso de cualquier discrepancia, prevalecerá la versión en inglés.

Los términos en mayúscula no definidos en este documento tienen el significado que se les asigna en la DPA.

Este Anexo A aborda las medidas técnicas y organizativas, incluidas las salvaguardas prácticas y las medidas de seguridad técnica, que Marzipan mantiene para (a) proteger los Datos del Cliente frente a pérdidas, accesos o divulgaciones accidentales o ilícitas; (b) identificar los riesgos de seguridad razonablemente previsibles e internos y el acceso no autorizado a los Servicios, incluida la cuenta de Marzipan del Cliente; y (c) minimizar los riesgos de seguridad, entre otras formas mediante la evaluación de riesgos y pruebas periódicas. Marzipan designará a uno o más empleados responsables de rendir cuentas y responder a cualquier pregunta sobre las prácticas y medidas de seguridad de la información que se describen a continuación.

  1. Modelo de Responsabilidad Compartida

    Marzipan opera aplicaciones basadas en la nube en marzipan.co, labls.co y labls.io respectivamente, cuya infraestructura y datos asociados están alojados en servidores operados por los proveedores de servicios en la nube (1) UpCloud Oy ("UpCloud") en su centro de datos DE-FRA1 en Fráncfort, Alemania; (2) Hetzner Online GmbH ("Hetzner Online") en sus centros de datos en Núremberg y Falkenstein, Alemania; (3) Scaleway SAS ("Scaleway") en su centro de datos en París. Esto significa que el Servicio de Marzipan se presta a través de internet según un modelo de Software como Servicio ("SaaS").

    De entre UpCloud, Hetzner Online y Scaleway, UpCloud aloja la versión de producción activa de las aplicaciones de Marzipan y sus datos asociados, y proporciona la capacidad de cómputo que permite al Cliente acceder a los Servicios sin necesidad de instalar físicamente una copia de ninguna de las aplicaciones. Scaleway proporciona servicios de correo electrónico transaccional. Por su parte, Hetzner Online proporciona a Marzipan un servidor dedicado en el que Marzipan aloja versiones de preproducción (es decir, de prueba) de las aplicaciones, con el fin de probar nuevo código, funcionalidades y actualizaciones en un entorno controlado antes de ponerlas en producción.

    El modelo SaaS establece una división del trabajo en lo que respecta a la implementación de las salvaguardas técnicas y organizativas necesarias para proteger los Datos del Cliente. En su condición de responsable del tratamiento, Marzipan es responsable de diseñar las herramientas de gestión de accesos y las herramientas de seguridad de red conforme a las cuales los Datos del Cliente se almacenan en la nube: la seguridad en la nube. En su condición de proveedores de servicios en la nube y encargados del tratamiento, UpCloud, Hetzner Online y Scaleway son responsables, según corresponda, de mantener la seguridad del entorno de nube subyacente y de los servidores físicos en los que se almacenan los Datos del Cliente, incluida la implementación de medidas técnicas y físicas para proteger frente al acceso no autorizado a sus centros de datos y arquitectura de red: la seguridad de la nube.

    En términos más detallados, esto significa que Marzipan es responsable de gestionar la seguridad del software de la aplicación Marzipan (incluidas las actualizaciones y parches de seguridad de las aplicaciones Marzipan y Labls), así como la configuración de cualquier función relacionada con la seguridad que UpCloud, Hetzner Online y Scaleway ofrecen como parte de sus servicios en la nube. A su vez, UpCloud, Hetzner Online y Scaleway operan, gestionan y controlan (según corresponda) los componentes desde el sistema de la aplicación Marzipan y la capa de virtualización hasta la seguridad física de las instalaciones en las que opera el servicio de la aplicación Marzipan y se almacenan los datos asociados.

    Denominamos a esto un «Modelo de Responsabilidad Compartida», ya que implica que, además de implementar medidas técnicas y organizativas sustanciales propias, nos apoyamos en los extensos mecanismos de seguridad de UpCloud, Hetzner Online y Scaleway.

    Puede encontrar información adicional sobre las medidas de seguridad física, de red y de sistemas que UpCloud, Hetzner Online y Scaleway aplican respectivamente para proteger sus centros de datos y la información almacenada en ellos aquí para UpCloud, aquí para Hetzner y aquí para Scaleway.

  2. Servidores de UpCloud y Hetzner Online

    UpCloud

    De conformidad con el artículo 28(3)(c) del UK GDPR, Marzipan está obligado a elegir un encargado del tratamiento de computación en la nube que ofrezca garantías suficientes de su capacidad para cumplir las medidas de seguridad de los datos establecidas en el artículo 32 del UK GDPR.1

    We have selected UpCloud to be our principal hosting provider, infrastructure partner and cloud computing processor for the production versions of the Marzipan and Labls applications based on a careful selection process, considering legal, organisation and technical measures. We chose UpCloud because their IT architecture and infrastructure has been certified as being designed and managed in accordance with industry-leading best practises and security standards including:

    • ISO 9001 Gestión de la calidad
    • ISO 14001 Gestión ambiental
    • ISO 22301 Seguridad y resiliencia
    • ISO 27001 Gestión de la seguridad de la información
    • ISO 50001 Gestión energética
    • SOC 2 Tipo II Seguridad y privacidad de datos
    • PCI-DSS Seguridad de la información

    Para garantizar el cumplimiento del fallo «Schrems II» dictado por el Tribunal de Justicia de la UE (TJUE) en julio de 2020, todos los datos de los clientes alojados en UpCloud se alojan en el centro de datos DE-FRA1 de UpCloud en Fráncfort, Alemania.

    Hetzner

    Marzipan ha elegido a Hetzner Online como socio de confianza para proporcionarle espacio de servidor dedicado adicional. Hetzner Online cuenta con la certificación conforme a las normas DIN ISO/IEC 27001. Asimismo, esta norma de reconocimiento internacional para la seguridad de la información certifica que Hetzner Online ha establecido e implementado un Sistema de Gestión de la Seguridad de la Información ("SGSI") adecuado.

    Hetzner Online utiliza el SGSI en su infraestructura y operaciones en las dos ubicaciones de centros de datos en Alemania donde Marzipan arrienda espacio de servidor dedicado, concretamente los parques de centros de datos de Nuremberg y Falkenstein. FOX certification, una autoridad de certificación independiente, ha auditado y certificado los procesos del SGSI de los parques de centros de datos de Hetzner Online.

    Scaleway

    Marzipan utiliza Scaleway para alojar los servicios de correo electrónico transaccional de la aplicación Marzipan. Scaleway cuenta con la certificación conforme a las normas ISO/IEC 27001:2022. Scaleway está certificado como «Hébergeur de Données de Santé» (Proveedor de Alojamiento de Datos de Salud) desde julio de 2024. Gestionado por la Agencia Nacional Francesa para la Salud Digital (ANS), bajo la supervisión del Ministerio de Salud, el marco de certificación HDS es uno de los más exigentes que deben cumplir los proveedores de servicios digitales para alojar y gestionar datos de salud en Francia. La certificación de Scaleway confirma la implementación de rigurosas medidas técnicas y organizativas para proteger los datos de salud, el cumplimiento de los requisitos legales y reglamentarios, y el sometimiento a auditorías periódicas para garantizar un alto nivel de seguridad de los datos de salud.

  3. Cifrado

    Un elemento fundamental de las medidas de seguridad de Marzipan es el cifrado de datos tanto en reposo como en tránsito. Todas las comunicaciones de red externas entre los clientes y la aplicación Marzipan a través de redes públicas utilizan Transport Layer Security ("TLS") 1.2 o superior. Los datos de los clientes almacenados en los servidores de UpCloud, Scaleway y Hetzner Online de Marzipan están cifrados mediante AES 256 o superior.

    Marzipan utiliza los servicios de cifrado respectivos de UpCloud, Scaleway y Hetzner Online para cifrar los datos de los clientes.

    El sistema de cifrado de UpCloud está diseñado de forma que nadie, incluido el personal de Marzipan o de UpCloud, pueda acceder a las claves de cifrado en texto plano. UpCloud utiliza módulos de seguridad de hardware ("HSM") que han sido o están actualmente validados conforme a FIPS 140-2 para proteger la confidencialidad de las claves en texto plano utilizadas para cifrar los datos de los clientes. Todas las claves criptográficas se rotan automáticamente una vez al año.

    El cifrado de disco completo de Hetzner Online emplea algoritmos de cifrado AES 256 y procesos de autenticación obligatorios para cifrar todas las unidades, tanto de software como de hardware, almacenadas en sus servidores dedicados. Esto minimiza el riesgo de pérdida de datos y de acceso no autorizado a los datos de los clientes.

    Los sistemas de Marzipan utilizan cifrado de transporte siempre que sea necesario transferir datos a través de una red insegura o pública. La interfaz web y todas las API conectadas a la aplicación Marzipan solo son accesibles mediante conexiones HTTPS, y los sistemas cliente deben utilizar al menos TLS 1.2 para acceder al sistema Marzipan.

  4. Restricción de las ubicaciones de los servidores al EEE/UE

    Marzipan almacena los datos exclusivamente en el EEE, concretamente en los centros de datos de UpCloud en Fráncfort (Alemania), en los centros de datos de Hetzner Online en Núremberg y Falkenstein (Alemania) y en el centro de datos de Scaleway en París.

    Esto tiene por objeto garantizar al máximo que los datos de los clientes no puedan ser utilizados ni divulgados sin autorización, especialmente a la luz de la sentencia Schrems II del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020, y de las preocupaciones de los expertos en protección de datos en relación con la aparición de leyes de entrega obligatoria de datos en Estados Unidos y otras jurisdicciones fuera del EEE.

  5. Registro de actividad/Pista de auditoría

    Marzipan utiliza registros de actividad en sus entornos de UpCloud en diversas áreas. Entre ellas se incluyen:

    • Eventos del sistema;
    • Registro de errores;
    • Actividad de los usuarios;
    • Inicios de sesión y solicitudes a sistemas de bases de datos;
    • Otros eventos relacionados con la seguridad/registro de auditoría.

  6. Supervisión

    Marzipan utiliza diversas herramientas de supervisión para garantizar la máxima disponibilidad y rendimiento de los sistemas y la aplicación de Marzipan. Estas herramientas monitorizan al menos los siguientes parámetros:

    Disponibilidad

    • Accesibilidad de la aplicación
    • Accesibilidad de los sistemas y servicios de backend

    Recursos

    • Uso de CPU
    • Uso de interfaces de red
    • Uso de interfaces persistentes y volátiles

    Rendimiento

    • Tiempos de respuesta de la aplicación
    • Tiempos de respuesta de los sistemas de backend
    • Tiempos de consulta del contenido de la base de datos MySQL

    Seguridad

    • Rendimiento de DS
    • Estado de actualización de los sistemas

    Supervisión

    • Registros de errores
    • Registros de acceso

    Además de esta supervisión automatizada, los empleados de Marzipan monitorizan los medios digitales y blogs relevantes (incluidas las actualizaciones de referencia de OWASP mencionadas anteriormente) para poder reaccionar ante ellos con prontitud.

  7. Control de acceso

    Marzipan asigna a sus empleados y colaboradores distintos niveles de control de acceso a sus sistemas y servicios en los servidores de UpCloud y Hetzner Online. Estos se gestionan a través de los respectivos sistemas de Gestión de Identidades y Accesos (IAM) de UpCloud y Hetzner Online, que permiten una granularidad fina del acceso a los diferentes servicios.

    El principio rector de Marzipan a la hora de asignar permisos a su personal es el de «necesidad de conocer» (need-to-know). En la práctica, esto significa que el personal de Marzipan solo tiene acceso a las funciones necesarias para desempeñar su trabajo. El acceso a los sistemas de back-end únicamente es posible mediante conexiones seguras y autenticadas. Está prohibida la publicación de los sistemas de back-end. Solo un número estrictamente limitado de empleados de Marzipan tiene acceso al sistema que almacena los datos de los clientes. Este acceso directo es exclusivamente para el análisis de errores y está supervisado.

  1. El artículo 32 del UK GDPR exige que los responsables y encargados del tratamiento adopten un enfoque basado en el riesgo en materia de seguridad de los datos. Requiere que los responsables y encargados «garanticen un nivel de seguridad adecuado al riesgo». El propósito de un enfoque basado en el riesgo es evaluar los riesgos potenciales inherentes a una actividad determinada e identificar e implementar técnicas de mitigación para controlar y minimizar cualquier impacto potencial.

No se fíe solo de nuestra palabra

“Realizamos la migración de WooCommerce a una solución personalizada impulsada por Marzipan. Gestionar nuestros pedidos es muy sencillo y la flexibilidad de la API de suscripciones nos ha permitido mejorar nuestra oferta de adopción de viñas viejas.”

Katie Jones sosteniendo un rastrillo Tuchan
Katie Jones
Owner, Domaine Jones

“Marzipan es increíblemente fácil de usar, y extremadamente flexible y configurable. Hace que los clubes de vino por suscripción recurrente sean mucho más sencillos que cualquier otro sistema que haya utilizado, y es capaz de gestionar prácticamente todo lo que le hemos exigido.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee