Caseware Legal

The Caseware Legal page provides centralized access to Caseware’s legal policies, agreements, and compliance resources. Explore important information related to privacy, security, AI, accessibility, and product usage in one place.

CASEWARE CLOUD SERVICE LEVEL AGREEMENT

Version: 4.0 Last Updated: January 9, 2024

This Caseware cloud service level agreement (the “SLA”) describes the levels and availability of the Support Services Customer will receive from Caseware when using the Services pursuant to an applicable product and/or services agreement entered into by Customer and Caseware (the “MPSA”).

  1. Definitions

Capitalized terms used herein but not otherwise defined shall have the meanings assigned to them in the MPSA.

In this SLA, the following terms shall have the following meanings:

  1. Business Day” means any weekday of the year (Monday through Friday) except for the following: New Year’s Day (January 1st), and Christmas Day (December 25th).
  2. Caseware” means the Caseware entity set out in the MPSA, and for the purposes of this SLA, shall include Affiliates and third-party service providers who act on behalf of Caseware.
  3. Defect” means any error, problem, or malfunction of Services such that the Services do not conform to the Documentation.
  4. Distributor” means the authorized Caseware distributor or reseller for a specific region, as set out at www.Caseware.com/distributors.
  5. Documentation” means the operating instructions for the Services made available by Caseware, as may be updated from time to time.
  6. "Downtime" means any period where Services is not available to Permitted Users, excluding Exempt Downtime.
  7. Exempt Downtime” means any period where Services is not available to Permitted Users for the following reasons: (i) scheduled maintenance necessary to implement required updates, upgrades or other modifications to the Services or the performance of routine, emergency or an ad hoc maintenance activity for which Caseware has provided Customer with reasonable advance notice; or (ii) is caused by failure of equipment or services not provided by Caseware, including but not limited to Customer or public infrastructure/facilities accessed by Customer to connect the Services.
  8. “Fee” has the meaning set forth in the MPSA.
  9. “MPSA” has the meaning set forth in the recitals above.
  10. Notification” has the meaning set forth in Section 4.
  11. Permitted User” has the meaning set forth in the MPSA.
  12. Response” means an acknowledgment by Caseware or a Distributor, as applicable, of a Notification and assignment of a support representative to investigate the related Defect.
  13. Service Level Credit” has the meaning set forth in Section 6.
  14. Services” has the meaning set forth in the MPSA.
  15. “SLA” has the meaning set forth in the recitals above.
  16. Software” has the meaning set forth in the MPSA.
  17. Support Services” has the meaning set forth in Section 2.
  18. “Term” has the meaning set forth in the MPSA.

2. Support Services

a) During the Term of Customer’s applicable subscription of the Services, Caseware will provide Customer the following support services (collectively the “Support Services”):

(i) technical support via telephone, email, or web to answer queries concerning the use, operation or business functionality of Services;

(ii) error analysis and correction;

(iii) access to in-line releases, including minor and major new versions of the Services as they become commercially available; and

(iv) online access to resources and information regarding the Services and its use.

b.) Customer acknowledges and agrees that the Support Services will be provided by Caseware and/or service providers authorized by Caseware to support the Services. In the event Caseware utilizes a service provider to provide the Support Services, Caseware shall be solely responsible for the acts, omissions, performance, negligence, or fault of said third party.

c.) Caseware warrants that Support Services will be performed in a professional manner using qualified and adequately trained personnel and will be provided in accordance with the standards of care and diligence normally practiced by software companies performing services of a similar nature.

d.) The following shall relieve Caseware of its obligations under this SLA to the extent related to, affected by, prevented by any of the following:

(i) any event deemed a “force majeure” as set out in the MPSA;
(ii) Customer’s use or misuse of the Services in a manner inconsistent with the Documentation;
(iii) Customer’s breach of the MPSA, including non-payment; and/or
(iv) maintenance, modifications, or other interference made to the Services approved, recommended or provided by Caseware.

3. Out-of-Scope Services

a) The following, among other things, are outside of the services provided under this SLA:

(i) errors arising from third-party hardware or software used in association with, and not approved, recommended, or provided by Caseware and/or

(ii) diagnosing problems or deficiencies not caused by the Software.

b.) Should a Customer request assistance or support which is not within the scope of the Support Services identified in this SLA, Caseware is under no obligation to perform such services, but may agree to perform such assistance or support upon prior mutual written agreement of the Parties and in accordance with Caseware’s standard time and material rates.

c.) Implementation of a new version or an update to the Services and/or software fixes will be implemented in the Services release cycle at Caseware’s sole discretion as they become commercially available.

4. Notifications & Requests for Support

All notifications of a Defect in the Services and/or a request for Support Services under this SLA (each a “Notification”) shall be reported to (i) Caseware via support@Caseware.com or (ii) the Distributor from whom Caseware’s Services were purchased through, contact information for each Distributor is located at https://www.caseware.com/distributors, as applicable.

Customer shall provide sufficient detail in the Notification to allow Caseware to assess the nature of the issue, including any applicable severity level and details of the circumstances of its occurrence. If Caseware confirms the existence of the Defect, Caseware will correct the error in accordance with this SLA, or with a future major release or upgrade of the Services, and/or advise Customer how to achieve substantially the same functionality with the Services as described in the Documentation through a procedure different from that set forth in the Documentation.

Notifications will be managed/escalated by Caseware, or if applicable a Distributor, as follows:

(i) “First-Tier” Support Services will include Customer inquiries about the Services and/or application issues. First-Tier support will be made available by Caseware or a Distributor during the hours set out on https://www.Caseware.com/ca/support. Meetings may be scheduled and agreed upon by the parties outside of this time frame to facilitate issue review, upgrades and patches.

(ii) “Second-Tier” Support Services may include a specific product issue and will be escalated accordingly by Caseware.

5. Service Levels

Caseware utilizes the following four (4) severity levels to categorize and facilitate resolution of reported Defects:

Defect Severity Table
Defect Impact Time for Response*
Severity 1
Defect

Services are not available as follows:

  1. (i)no users can log on to the web application, and/or
  2. (ii)no records can be submitted system wide.
Within one (1) hour of Notification for Defect on production environment
Severity 2
Defect

Services are available, but one or more functions are inoperable or unavailable to Customer, including:

  1. (i)inability by Customers to access documents that they have created using the Services,
  2. (ii)inability to submit or revise data, and/or
  3. (iii)one (1) or more users are prevented from accessing Services.
Within one (1) Business Day of Notification for Defect on production environment
Severity 3
Defect

Defect in the Services that does not meet the criteria for Severity 1 or Severity 2 Defect, including:

  1. (i)individual documents are not running, and/or
  2. (ii)individual documents are inaccurate due to system issues.
Within three (3) Business Days of Notification
Severity 4
Defect

A support inquiry, including:

  1. (i)specific functionality questions.
  2. (ii)process questions.
  3. (iii)enhancement request and/or
  4. (iv)documentation enhancement or clarification request.
Within five (5) Business Days of Notification

*Time of Response refers to a confirmation of receipt of a Notification and may not necessarily include a resolution of the Defect.

6. Availability & Service Level Credits

a.) Availability

Caseware will make the Services available 99.9% of the time, as calculated in a calendar month on a 24 hour/7-day basis, excluding (a) an Exempt Downtime or (b) an availability issue caused by any one or more of the following activities:

(i) those set out in Section 2(d);
(ii) those that are that are related to third party apps, including add-on features for the Services;
(iii) those that result from Customer's or a third party's hardware, software or services;
(iv) those that result from actions or inactions by Customer or Customer’s employees, agents, contractors or vendors, or anyone gaining access to the Services by means of Customer's login credentials;
(v) those that result from intermittent periods of Downtime that are ten (10) minutes or less in duration; or
(vi) those that result from Customer's use of beta, trial offers, early access programs and/or demos of the Services.

b.) Service Level Credit

If the Services are not available at any given time in any calendar month due to a Severity Level 1, Customer, shall, as its sole and exclusive remedy for such lack of availability, be entitled to a service credit as follows (“Service Level Credit”):

Service Level Credit Table
Actual Availability Percentage Service Level Credit
>=99.9% No Credit
99 to 99.89% 3% of the monthly Fee for the applicable calendar month
98 to 98.99% 6% of the monthly Fee for the applicable calendar month
97 to 97.99% 10% of the monthly Fee for the applicable calendar month
< 97% 20% of the monthly Fee for the applicable calendar month

Service Level Credits will be provided to Customer only if Customer requests Service Level Credits for a Severity 1 issue from Caseware within 14 days of resolution of such an issue. If Customer fails to request Service Level Credits within this time frame, Caseware is not obligated to credit customer any Service Level Credits.

Service Level Credits shall be applied to future invoices issued to Customer. Service Level Credits shall have no other value and shall not give rise to any right of redemption or refund for fees already paid by Customer unless otherwise set out in the MPSA.

See what your
audit workflow looks like

with Ai built in.
Get in touch
Version: 3.0
Last Updated: January 2023

Seguridad de la aplicación y la interfaz

Nuestro ciclo de vida de desarrollo de software (SDLC) garantiza que nuestras aplicaciones e interfaces de programación (API) se diseñen, implementen y prueben de conformidad con los estándares líderes del sector (como OWASP, ISO y SOC), y se ajusten a las obligaciones de cumplimiento legales, reglamentarias o regulatorias.

Una vez que todos los acuerdos y políticas se hayan aceptado para el uso del servicio. Usted es responsable de asegurarse de que el uso que hace de Caseware Cloud sea conforme a las leyes y reglamentos aplicables. Puede consultar los detalles legales en el Acuerdo de Servicios en la nube aquí: https://docs.caseware.com/latest/webapps/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm.

Hemos establecido y mantenemos políticas y procedimientos en apoyo a la seguridad de los datos para incluir confidencialidad, integridad y disponibilidad en diferentes interfaces del sistema, jurisdicciones y funciones empresariales con el fin de evitar la inadecuada divulgación, alteración o eliminación.

Cumplimiento y garantía de auditoría

Para nuestros servicios en la nube, y como parte de nuestro programa de cumplimiento de la ISO 27001 y SOC 2, se realizan auditorías independientes llevadas a cabo por terceros. Además, contamos con un programa de auditoría interna y pruebas externas de penetración, y planificamos con regularidad pruebas de vulnerabilidad interna. Los resultados de las pruebas de vulnerabilidad se comparten con los clientes tal como se indica en la Política de pruebas iniciadas por el cliente. Asimismo, a través de nuestro proceso de mejoras, se hace un seguimiento de los resultados de estos procesos. La metodología y las herramientas utilizadas para realizar las pruebas de penetración se ajustan de acuerdo a cada evaluación para objetivos específicos y perfiles de atacantes. Los informes SOC 2 se proporcionan a los clientes en virtud del Acuerdo de Confidencialidad (NDA, en inglés). Nuestro informe SOC 3 está disponible en formato PDF aquí.

Los datos de producción se almacenan en Amazon Web Services (AWS). La aplicación gestiona separación lógica de datos de clientes a través de un aislamiento de la base de datos. Los datos que se transfieren hacia y desde nuestro servicio (incluidas las copias de seguridad) están totalmente cifrados mediante una conexión SSL (AES de 256 bits, que es la que se utiliza en la banca online). La transmisión de datos tiene lugar entre el cliente y el servidor, y las bases de datos. Se realizan controles para garantizar que las transferencias de conjuntos masivos de datos se realizan de forma segura y cifrada. No hay transmisiones de correos electrónicos. Para obtener más información sobre seguridad, consulte: https://www.casewarecloud.com/security.html. Nuestro equipo legal supervisa nuestras obligaciones reglamentarias. Para conocer los requisitos legales, consulte nuestro contrato de servicios en la nube. https://docs.caseware.com/latest/webapps/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm.

Gestión de continuidad empresarial y resiliencia operativa

Caseware cuenta con un marco unificado coherente para la planificación de la continuidad empresarial y lo ha establecido, documentado y adoptado para garantizar que todos los planes de continuidad empresarial sean coherentes a la hora de abordar las prioridades en cuanto a pruebas, mantenimiento y requisitos de seguridad de la información. Los requisitos para los planes de continuidad empresarial incluyen los siguientes:

  • Propósito y alcance definidos, ajustados a las dependencias pertinentes.
  • Accesibles y comprensibles para aquellos que vayan a utilizarlos.
  • Propiedad de una o varias personas designadas que serán responsables de su revisión, actualización y aprobación.
  • Líneas definidas de comunicación, funciones y responsabilidades.
  • Procedimientos detallados de recuperación, operación manual e información de referencia.
  • Método para la invocación de planes

Nuestros planes de continuidad empresarial y de respuesta de incidentes de seguridad se prueban en intervalos planificados o tras cambios significativos a nivel de organización o del entorno. Los planes de respuesta de incidentes incluyen a clientes que se vean afectados (arrendatarios) y a otras relaciones empresariales que representan dependencias fundamentales de procesos empresariales de la cadena interna de suministros.

Nuestro servicio está alojado en el AWS de Amazon y los servicios de suministros y condiciones ambientales (por ejemplo, controles de agua, electricidad, temperatura y humedad, telecomunicaciones y conexión a internet) están protegidos, monitorizados, conservados y probados para una eficacia continuada a intervalos planificados para garantizar la protección ante daños u obstaculización no autorizada, y están diseñados con conmutación por error automatizada u otras redundancias en el caso de interrupciones planificadas o no.

Nuestro servicio en la nube es completamente virtual y está alojado en Amazon Web Services (AWS). Amazon también cumple con ISO y SOC2, y es responsable de que solo personas autorizadas accedan a las instalaciones que alojen los sistemas de producción. Asimismo, AWS es responsable de la protección ambiental y mantenimiento preventivo de los sistemas de producción. AWS ha publicado más detalles al respecto aquí: https://aws.amazon.com/compliance/data-center/controls. Estas certificaciones tratan cuestiones como la seguridad física, la disponibilidad del sistema, el acceso a la red y a la red central de IP, el aprovisionamiento de clientes y la gestión de problemas. El acceso físico y los controles ambientales los gestiona y controla AWS. La información de aseguramiento de protección física de AWS puede consultarse en: https://aws.amazon.com/compliance.

En Caseware, hemos ajustado nuestro programa de seguridad a la ISO 27001 y tenemos implementados procesos de continuidad empresarial para abordar las interrupciones en servicios esenciales. Hacemos seguimiento de todas las instancias de la nube en cuanto a rendimiento y disponibilidad, además de:

  • Identificar productos y servicios esenciales.
  • Identificar todas las dependencias, incluidos procesos, aplicaciones, socios empresariales y proveedores de servicios de terceros.
  • Comprender las amenazas a los servicios y productos esenciales.
  • Determinar el impacto resultante de interrupciones planificadas o no, y cómo varían en el tiempo.
  • Establecer el periodo máximo tolerable de la interrupción.
  • Establecer prioridades para la recuperación.
  • Establecer objetivos de tiempo de recuperación para la reanudación de productos y servicios esenciales dentro de su periodo de interrupción máximo tolerable.
  • Estimar los recursos requeridos para la reanudación.

Los clientes pueden ver nuestro estado operativo en tiempo real en nuestra página de estado aquí: https://caseware.statuspage.io/. Mantenemos un sistema central para la documentación y formación de los procesos para todo el personal. Los procedimientos incluyen gestión de cambios, procesos de seguridad y funciones y responsabilidades de los usuarios internos. Nuestros procedimientos se actualizan según sea necesario y se registran historiales de revisiones. Además, las políticas y procedimientos incluirán funciones y responsabilidades definidas, y el personal recibirá formación al respecto de forma periódica.

Caseware mantiene una política de conservación y registro para los servicios en la nube. La política de conservación no es específica del cliente. Los procedimientos de recuperación y de copias de seguridad están documentados y cada día se envían alertas automatizadas al personal de operaciones. Las medidas de recuperación y de copias de seguridad se han incorporado a la planificación de continuidad empresarial y se ha probado su eficacia de la manera pertinente. A continuación, puede consultar la política de conservación de cada categoría de registros. Registros de transacciones del sistema Descripción: Diarios de bases de datos y otros registros utilizados para la recuperación de bases de datos. Periodo de conservación: 30 días. Motivo de la conservación: se basa en la estrategia de recuperación y de copia de seguridad. Medios de almacenamiento admitidos: electrónicos. Registros de auditoría Descripción: registros de seguridad, por ejemplo, registros de inicio/cierre de sesión y cambios de permisos. Periodo de conservación: 30 días. Motivo de la conservación: periodo máximo de retraso antes de investigación forense. Medios de almacenamiento admitidos: electrónicos. Procedimientos operativos Descripción: registros asociados con la finalización de los procedimientos operativos. Periodo de conservación: 2 años. Motivo de la conservación: periodo máximo transcurrido en relación a la disputa. Medios de almacenamiento admitidos: electrónicos. Cliente Descripción:Copias de seguridad del cliente. Periodo de conservación: 90 días. Motivo de la conservación: requisito de protección de datos. Medios de almacenamiento admitidos: electrónicos.

Control de cambios y gestión de configuración

Los controles de gestión de cambios se han establecido para cualquier nuevo desarrollo o adquisición de nuevos datos, aplicaciones físicas o virtuales, componentes de sistemas y red de infraestructura, o para cualquier instalación corporativa, operativa o centro de datos que la gerencia empresarial de la organización o cualquier otra función o rol empresarial haya autorizado previamente. Nuestro SDLC dispone de un proceso definido de pruebas y de control de cambios de calidad con referencias establecidas, pruebas y normas de publicación, que se centran en la disponibilidad del sistema y en la confidencialidad e integridad de los sistemas y servicios.

Se han establecido políticas y procedimientos, y se han implementado medidas técnicas y procesos empresariales de apoyo, para limitar la instalación de software no autorizado en componentes de sistemas y red de infraestructura de TI y en dispositivos terminales gestionados por el usuario o propiedad de la organización, dentro del entorno de la nube de producción. Nuestras políticas y procedimientos de gestión de cambios incluyen la gestión de riesgos asociados con la aplicación de cambios en aplicaciones que impactan en el cliente o que son esenciales para la empresa, y en diseños y configuraciones de interfaz sistema a sistema (API). También se han implementado medidas técnicas para garantizar que todos los cambios se corresponden directamente con una solicitud de cambio registrada, ya sea esencial para la empresa o para el cliente, o el cliente las ha autorizado según lo acordado antes de la implementación.

Gestión del ciclo de vida de la información y seguridad de los datos

Caseware tiene implementadas políticas y procedimientos, además de medidas técnicas y procesos empresariales de soporte, para realizar inventarios y mantener los flujos de datos dentro de los sistemas y la red SaaS en cada ubicación geográfica. Los controles implementados garantizan que dichos datos se ubiquen en la zona geográfica determinada por el cliente. Los datos de suscriptores dentro del entorno de la nube de producción residen en arquitectura de dos niveles y no se puede acceder directamente desde internet.

Nuestra política de seguridad define cuatro niveles de clasificación de datos: confidencial, restringido, operativo y público. Todos los datos almacenados dentro de la infraestructura de la nube de producción se consideran confidenciales, que es nuestro máximo nivel de seguridad, y solo personal autorizado puede acceder a este entorno. El acceso lógico al entorno de la nube de producción se limita únicamente al equipo de operaciones.

Todos los datos de los suscriptores se almacenan en el entorno de la nube de producción. El uso de datos de clientes en entornos que no sean el de producción se controla a través de procesos seguros de gestión de datos, que requieren una aprobación explícitamente documentada de los clientes cuyos datos se ven afectados, y deben cumplir con los requisitos legales y reglamentarios para la limpieza de elementos de datos confidenciales. Hay un equipo de operaciones específico responsable de todas las funciones operativas en lo referente a la infraestructura y el almacenamiento, y tiene responsabilidades asignadas que se han definido, documentado y comunicado. Caseware Cloud se aloja en servidores web de Amazon en todo el mundo. Tras realizar la suscripción en los Servicios Caseware Cloud, CWC informa a los clientes acerca de la jurisdicción en la que se encuentra ubicado el servidor que se ha designado para que aloje sus datos de suscriptor y su información personal. Puede dar su consentimiento para dicha asignación o rechazarla. Por motivos de rendimiento, lo habitual será que la configuración se realice en:

  • Estados Unidos/Virginia del Norte, si usted se encuentra en los Estados Unidos o Sudamérica
  • Canadá/Montreal, si se encuentra en Canadá
  • Australia/Nueva Gales del Sur, si se encuentra en la región de Asia-Pacífico
  • Irlanda/Leinster, si se encuentra en cualquier otra región

Seguridad de los centros de datos

La infraestructura de producción se aloja por completo dentro de AWS de Amazon. AWS es responsable de permitir que solo las personas autorizadas accedan a las instalaciones que alojen los sistemas de producción. Asimismo, AWS es responsable de la protección ambiental y mantenimiento preventivo de los sistemas de producción. El acceso físico lo controla AWS en el perímetro y en puntos de ingreso al edificio. Puede encontrar todos los detalles aquí: https://aws.amazon.com/whitepapers/#security. AWS ha publicado más detalles al respecto aquí: https://aws.amazon.com/compliance/data-center/controls/.

Nuestra infraestructura de producción se aloja por completo dentro de AWS de Amazon. AWS tiene informes SOC 2, que se revisan cada año. Los procesos de gobernanza de AWS puede encontrarlos aquí: https://aws.amazon.com/compliance/.

Gestión de claves y cifrado

Nuestras políticas y procedimientos de cifrado se diseñan para dar soporte al proceso empresarial. Se han implementado medidas técnicas con base en los requisitos empresariales para la protección de datos en reposo y datos en tránsito de acuerdo a las obligaciones de cumplimiento legales, reglamentarias y regulatorias aplicables.

Nuestra política de cifrado requiere que todas las claves de cifrado tengan propietarios identificables dentro de la organización. La gestión del ciclo de vida de claves cifradas garantiza que los controles de acceso estén funcionando para la generación, intercambio y almacenamiento seguros de claves, lo que incluye segregación de claves utilizadas para sesiones o datos cifrados.

Los datos almacenados a nivel de servidor (datos en reposo) se cifran mediante el algoritmo AES-256, estándar de la industria. Los datos que se transfieren hacia y desde nuestro servicio (datos en tránsito) se cifran mediante TLS con intercambio de claves efímeras y paquetes de cifrado seguros aceptados por la industria. Los certificados utilizan una seguridad mínima de clave de 2048 bits con SHA-2 o un algoritmo de firma más seguro. Las claves privadas se generan y almacenan en nuestros sistemas de gestión de secretos y, según sea necesario, se implementan y usan en los sistemas de producción a través de nuestro proceso de control de cambios. Los certificados se obtienen a través de un proveedor reconocido y siguen el proceso de renovación/rotación, incorporado y estándar del sector, que se basa en el vencimiento o revocación según sea necesario.

Gestión de riesgos y gobernanza

Las evaluaciones de riesgo relacionadas con la seguridad se completan al menos una vez al año y tienen en cuenta lo siguiente:

  • Conocimiento de dónde se almacenan y transmiten los datos confidenciales en las aplicaciones, bases de datos, servidores e infraestructura de red.
  • Cumplimiento con los periodos de conservación definidos.
  • Clasificación y protección de datos ante el uso y acceso no autorizados, pérdida, eliminación y falsificación.

Hemos implementado un sistema de gestión de seguridad de la información (ISMS) basado en controles de ISO 27001 y SOC 2. Nuestro ISMS incluye las siguientes áreas en la medida en que se relacionan con las características de la empresa:

  • Política de seguridad de la información (este documento)
  • Política de control de acceso
  • Gestión de disponibilidad
  • Política de escritorio limpio (clean desk)
  • Política criptográfica
  • Política de gestión de proveedores de seguridad de la información
  • Política de registros y supervisión
  • Política de dispositivos móviles
  • Política de seguridad de redes
  • Política de gestión de contraseñas
  • Política de gestión de parches
  • Política de software
  • Política de gestión de vulnerabilidad técnica
  • Metodología de gestión de riesgos
  • Política de ISMS, malware y correos electrónicos
  • Política de uso aceptable de internet
  • Política de pruebas de penetración
  • Política de teletrabajo
  • Conservación y protección de registros

Los gerentes de los departamentos son responsables de mantenerse informados y cumplir con las políticas, procedimientos y normas de seguridad que sean relevantes para su área de responsabilidad. Los niveles de aceptación de riesgos se han definido dentro de la metodología de gestión de riesgos, y todos los riesgos se mitigan a un nivel aceptable con plazos razonables para su resolución y con la aprobación de las partes interesadas.

Nuestras políticas y procedimientos de seguridad de la información se publican y estarán disponibles para que todo el personal al que afecten, así como las relaciones empresariales externas, puedan revisarlos. El Comité Directivo de Seguridad de la Información es responsable de desarrollar, conservar y hacer cumplir las políticas de seguridad de la información de nuestro servicio, además de revisarlas y aprobarlas cada año. Los directivos ejecutivos e intermedios proporcionan apoyo para la seguridad de la información a través de un compromiso y dirección claramente documentados; además, se asegurarán de asignar las tareas pertinentes. El responsable de las operaciones y gobernanza de la seguridad de la información, lo que incluye la protección de los datos de los clientes, será un miembro de alto nivel de la dirección, quién deberá mantener informado al director financiero.

Con el fin de garantizar que se sigan cumpliendo la estrategia de seguridad, eficacia, precisión, relevancia y aplicabilidad conforme a las obligaciones de cumplimiento legales, reglamentarias o regulatorias, el Comité Directivo de Seguridad de la Información revisa la política anualmente o cuando se producen cambios en la organización.

Las evaluaciones formales de riesgos se realizan anualmente y cuando se produce cualquier cambio en los sistemas de información para determinar la probabilidad e impacto de todos los riesgos identificados. La probabilidad y el impacto asociados con el riesgo inherente y residual se determina de forma independiente, teniendo en cuenta todas las categorías de riesgo según los resultados de auditoría, el análisis de amenazas y vulnerabilidad, y el cumplimiento reglamentario. Los resultados de la evaluación de riesgos pueden incluir actualizaciones en las políticas, procedimientos, normas y controles de seguridad para garantizar que sigan siendo relevantes y eficaces. Los resultados de las evaluaciones de riesgos:

  • se informan a la alta gerencia, que participa en un proceso de tratamiento de riesgos;
  • se actualizan en un registro de riesgos; y
  • se priorizan según el posible impacto en los sistemas de producción

Nuestro departamento de RR. HH. tiene un proceso de selección definido para todo el personal. En el momento de la contratación, se obtienen verificaciones de referencia con respecto a todos los empleados y se realizan comprobaciones de antecedentes penales y crediticios para aquellos que realizan funciones operativas en el entorno de la nube de productos. Todo el personal debe firmar un acuerdo de confidencialidad antes de la contratación para garantizar la protección de la información del cliente con fines de protección de datos. Durante el periodo de incorporación del empleado, se proporciona formación de concienciación en materia de seguridad de la información, se brinda una formación específica a desarrolladores sobre prácticas de cifrado seguro y se conservan registros formales para la finalización de la formación del personal interno. Por su parte, los gerentes de departamento son los encargados de iniciar rescisiones de contrato de empleados y cambios en los puestos de trabajo, y nuestro equipo de R.R. H.H. revisa estas solicitudes y las envía a través de nuestro sistema de tickets para los requisitos de aprovisionamiento y desaprovisionamiento. Asimismo, el equipo de R.R. H.H. cuenta con un proceso para los empleados que dejan la empresa, cuya finalidad es garantizar que todo el equipo se devuelve y las cuentas se cancelan, y asegurar que se ha retirado el acceso a los entornos de producción.

Se establece un programa de formación de concienciación en materia de seguridad para todos los empleados, contratistas y terceros usuarios, el cual es obligatorio. Todas las personas con acceso a datos confidenciales y restringidos reciben una adecuada formación de concienciación y actualizaciones periódicas sobre los procedimientos, procesos y políticas de la organización en relación a su puesto de trabajo en la organización. Las funciones y responsabilidades de empleados, contratistas y terceros usuarios se documentan en la medida que se relacionan con la seguridad y los activos de información.

Las responsabilidades de todo el personal se definen dentro de las descripciones del puesto de trabajo y se han realizado teniendo en cuenta sus funciones y responsabilidades con respecto a lo siguiente:

  • Tener conocimiento en todo momento y cumplir con las políticas y procedimientos establecidos y las obligaciones de cumplimiento legales, reglamentarias o regulatorias.
  • Mantener un entorno laboral seguro.
  • Informar, si se detecta, de cualquier actividad sospechosa.

Contamos con una política de control clara que requiere que los espacios de trabajo desatendidos no tengan a la vista documentos confidenciales y las sesiones de ordenador se desactiven tras un periodo establecido de inactividad.

Tenemos implementada una política de control de acceso que especifica cómo gestionar el control de acceso a todos los componentes del sistema y a información confidencial en la organización. En la política de privacidad de Caseware (https://www.caseware.com/privacy-statement/) encontrará las políticas que rigen el uso o acceso aceptable a los datos y metadatos de los suscriptores. Caseware recopila, usa y divulga información solo con los siguientes fines:

  • Verificar su identidad.
  • Proporcionarle los servicios de Caseware Cloud.
  • Comunicarse con usted para informarle de productos, actualizaciones del servicio, notificaciones de facturas o notificaciones relacionadas con los servicios de Caseware Cloud.
  • Para controlar o mejorar el uso del sistema, el servidor y el rendimiento del software.
  • Para asistir con cuestiones de soporte técnico.
  • Para cumplir con cualquier ley, reglamento, órdenes judiciales, citaciones o cualquier otro proceso legal de investigación, y para proteger a CWC, sus afiliados y otras personas de cualquier perjuicio.
  • Para mejorar y aumentar la oferta de servicios de CWC.

Gestión de identidad y acceso

Se han establecido políticas y procedimientos para almacenar y gestionar información de identidad sobre cada persona que accede a la infraestructura de la nube de producción, así como para determinar su nivel de acceso. Se han establecido políticas y procedimientos de control de acceso, y se han implementado medidas técnicas y procesos empresariales de apoyo para restringir el acceso de usuarios, de acuerdo a una segregación de tareas definida con el fin de abordar riesgos empresariales asociados a un conflicto de intereses en las funciones de usuarios. El repositorio de control de acceso lo gestiona el proveedor. Usamos un administrador de identidades con privilegios y un sistema de gestión de contraseñas.

El acceso a, y el uso de, herramientas de auditoría que interactúan con el entorno de la nube de producción está segmentado y restringido para evitar poner en riesgo los datos de registro y un uso inadecuado de estos. El acceso de usuario a puertos de diagnóstico y configuración está restringido a personas y aplicaciones autorizados.

Hay controles implementados para garantizar que solo se instale software aprobado dentro de la infraestructura de la nube de producción.

El acceso a las aplicaciones desarrolladas por la propia organización, al programa o al código fuente del objeto, o a cualquier otra forma de propiedad intelectual (PI), así como el uso de software propietario, se controla mediante la regla de privilegios mínimos basada en la función del puesto de trabajo según las políticas y procedimientos establecidos de acceso de usuarios.

Caseware Cloud Service requiere autenticación de contraseña para acceder al sistema base. Una vez dentro del sistema, a los usuarios se les asignan roles de seguridad para realizar las operaciones adicionales y acceder a contenido específico. Con los roles de seguridad, puede controlar quién tiene acceso a ese contenido. Su organización es responsable de desarrollar políticas de seguridad adecuadas en torno a las contraseñas y roles de seguridad que usan funciones de seguridad suministradas en Caseware Cloud. Caseware proporciona acceso a los clientes, quienes tendrán entonces el control de sus propios usuarios y cuentas de administración, incluido el aprovisionamiento y desaprovisionamiento. Se emplea la autenticación en dos fases. El acceso de usuarios se autoriza y valida de nuevo cada trimestre para garantizar la regla de privilegios mínimos basada en la función del puesto de trabajo. Para infracciones de acceso identificadas, se adoptan actividades de corrección basadas en las políticas y procedimientos establecidos para el acceso de usuarios. El desaprovisionamiento oportuno (revocación o modificación) del acceso de usuarios a datos o aplicaciones gestionadas, sistemas de infraestructura y componentes de red, se ha establecido de acuerdo a las políticas y procedimientos establecidos y según los cambios de estado del usuario, tales como finalización del contrato o de otra relación empresarial, cambio de puesto de trabajo o traslado. El proveedor gestiona el aprovisionamiento y desaprovisionamiento de cuenta del servicio. La autenticación de cuenta del servicio utiliza autenticación de varias fases.

Seguridad de virtualización e infraestructura

Caseware Cloud, para todos los hosts de su infraestructura, implementa un punto de conexión de seguridad de detección y respuesta de puntos de conexión basado en Saas. Todo usuario, proceso y actividad de red se recopila y almacena en una ubicación central segura y se analiza prácticamente en tiempo real para detectar comportamientos sospechosos o realizar análisis forenses manuales. La protección, conservación y gestión del ciclo de vida de los registros de auditoría son conformes a las obligaciones de cumplimiento legales, reglamentarias o regulatorias aplicables, y proporcionan responsabilidad del acceso único de usuario para detectar comportamientos de red potencialmente sospechosos y anomalías en la integridad de los archivos, que se requieren para asistir a capacidades de investigación forense en el caso de una infracción de la seguridad. Nuestras herramientas tienen la capacidad detectar y prevenir comportamientos no autorizados o anómalos según el tráfico de red o la actividad de host. Todos los eventos de autenticación, correctos y erróneos, se registran.

Nuestros entornos de producción están separados del resto de entornos para evitar el acceso no autorizado o cambios en los activos de información. La separación de los entornos incluye separación lógica y segregación de tareas para el personal que accede a estos entornos como parte de las tareas de su puesto de trabajo.

Nuestro sistema de producción y entorno de red se protege por firewalls gestionados a nivel central y garantiza la separación de los entornos de producción del resto de entornos. Nuestro entorno de producción se ha diseñado, desarrollado, implementado y configurado para garantizar que el equipo de operaciones y el acceso de usuarios clientes esté adecuadamente segmentado de otros usuarios clientes, según las siguientes consideraciones:

  • Políticas y procedimientos establecidos
  • Aislamiento de activos esenciales empresariales y sesiones y datos confidenciales de usuarios, que obliga a controles internos más seguros y altos niveles de seguridad
  • Seguimiento de las obligaciones de cumplimiento legales, reglamentarias y reguladoras

La infraestructura de la nube de producción tiene un origen de la hora externo, fiable y mutuamente acordado, que se utiliza para sincronizar los relojes del sistema de todos los sistemas de procesamiento de información relevantes para facilitar el seguimiento y la reconstitución de líneas de tiempo de actividades.

Gestión de la cadena de suministro, transparencia y rendición de cuentas

Las políticas y procedimientos se han implementado para garantizar una revisión continuada de los acuerdos de servicios entre los proveedores y los clientes en toda la cadena de suministro que proceda. Las revisiones se realizan como mínimo anualmente e identifican disconformidades con los acuerdos establecidos. Cualquier disconformidad se identifica como medidas para abordar inconsistencias o conflictos a nivel de servicio.

Gestión de amenazas y vulnerabilidad

Se han establecido políticas y procedimientos, y se han implementado medidas técnicas y procesos empresariales de apoyo, para evitar la ejecución de malware dentro del entorno de la nube de producción o en dispositivos de usuarios finales, red de infraestructura de TI y componentes de sistemas. Se han establecido políticas y procedimientos, y se han implementado medidas técnicas y procesos de apoyo, para la detección oportuna de vulnerabilidades dentro de las aplicaciones gestionadas o propiedad de la organización, red de infraestructura y componentes de sistemas. Además, realizamos evaluaciones continuas de vulnerabilidad de código y aplicación en nuestros productos, así como revisiones duales de código del mismo nivel de todos los cambios de código con el fin de garantizar la eficiencia de los controles de seguridad implementados. Nuestra metodología de gestión de riesgos se utiliza para priorizar la corrección de vulnerabilidades identificadas. Los cambios se gestionan a través de nuestro proceso de cambios de gestión definidos para todas las revisiones suministradas por el vendedor, cambios de configuración o cambios en nuestras aplicaciones. Nuestra solución antimalware se gestiona a nivel central y se ejecuta en todos los sistemas. La solución antimalware incluye mecanismos para detectar o prevenir el phishing. Las actualizaciones de firma de malware se implementan en un plazo de 1 día a partir de su lanzamiento.

Lleve a su firma precisión, eficiencia y crecimiento con Caseware.

La autoridad en auditorías impulsadas por la IA.

Contacte con nosotros