Plume Trust Center

• Plume integra la seguridad en el ciclo de vida del desarrollo del producto, siguiendo marcos reconocidos en el sector como OWASP SAMM. Las evaluaciones de seguridad se realizan como parte del proceso de lanzamiento. El objetivo de Plume es garantizar que nuestro software y firmware se diseñen y creen de forma segura desde cero.
• La formación en seguridad está diseñada para ayudar a nuestros empleados a identificar, abordar y mitigar las amenazas de seguridad.
• Los proveedores de servicios de Plume se someten a una evaluación de riesgos de seguridad como parte de nuestro programa de gestión de riesgos de terceros. Este programa incluye una revisión para garantizar que estos externos cumplen la ley.

• Plume utiliza los marcos de prácticas recomendadas del NIST para proteger los servicios y también los estándares del NIST para cifrar los datos de los clientes que hay almacenados y las comunicaciones entre el equipo local del consumidor y las aplicaciones web/móviles con la nube.
• También se usan opciones de segregación de red y control de acceso basado en funciones para restringir el acceso no autorizado a los datos.
• Los permisos de datos se configuran utilizando el principio de privilegio mínimo para limitar el acceso únicamente a aquellos que lo necesiten para un propósito empresarial específico.
• El acceso a los datos de producción se supervisa, registra y audita.

• Si tienes preguntas sobre los programas de protección de la información de Plume, has experimentado una situación relacionada con la seguridad de la información y los servicios de Plume o quieres comunicar alguna vulnerabilidad, escríbenos a security@plume.com. Para informar de vulnerabilidades, también puedes utilizar este formulario.
• Te enviaremos una confirmación en un plazo de 5 días hábiles. Se enviarán actualizaciones periódicas sobre los problemas notificados.
• En la medida de lo posible, confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible a lo largo del proceso.

El programa de control de la privacidad de Plume incluye estas prácticas clave:

• Plume describe en sus políticas de privacidad los derechos y opciones que pueden tener las personas con respecto a los datos personales y cómo ejercer esos derechos.
• Los empleados de Plume participan en una formación de concienciación sobre la privacidad que cubre requisitos organizativos, contractuales y normativos.
• Plume incorpora controles de privacidad por diseño y por defecto en el ciclo de vida del desarrollo del producto.
• Plume dispone de procedimientos para prevenir, detectar y corregir cualquier acceso, uso, indisponibilidad o divulgación no autorizados de datos personales.
• Los proveedores y externos de Plume que manejan datos personales están sujetos a compromisos vinculantes que establecen sus funciones y limitaciones en el tratamiento de dichos datos personales.
• Plume realiza autoevaluaciones periódicas para identificar lagunas en su programa de control de la privacidad y poner en práctica medidas para eliminar las lagunas identificadas y establecer las mejores prácticas.
• Plume toma medidas para conservar los datos personales durante el tiempo necesario para cumplir con los propósitos indicados, a menos que los acuerdos con el cliente o la legislación requiera un periodo de retención diferente.
• Los servicios de Plume se alojan y operan en múltiples regiones geográficas. En algunos casos, Plume puede transferir datos personales a través de fronteras jurisdiccionales. Para las transferencias internacionales de información personal desde el EEE, el Reino Unido y Suiza, los contratos de clientes y proveedores de Plume incluyen las cláusulas contractuales tipo emitidas por la Comisión Europea en virtud de la Decisión 2010/87/UE (incluidas las adiciones del Reino Unido y Suiza). Plume cumple con las leyes aplicables con respecto a otras transferencias de datos personales cuando la jurisdicción de destino no garantiza el mismo nivel de protección de datos que la jurisdicción de origen de los datos personales.

• La nube de Plume está diseñada para proporcionar alta disponibilidad y redundancia de datos.
• La infraestructura de nube se crea y opera utilizando un modelo de responsabilidad compartida que aprovecha los servicios de proveedores de nube certificados complementados por controles organizativos y técnicos.
• El acceso a los recursos corporativos se gestiona mediante controles como el inicio de sesión único (SSO), la autenticación multifactor (MFA) y el acceso remoto basado en red privada virtual (VPN).
• Los sistemas están configurados con los servicios mínimos necesarios y los cambios se registran y supervisan.
• Los sistemas antimalware y de detección de intrusiones se utilizan para detectar comportamientos anómalos y actividades maliciosas y responder a estos.
• Se realizan evaluaciones periódicas para detectar vulnerabilidades en el entorno que luego se mitigan en función de su riesgo mediante procesos de gestión de cambios y respuesta a incidentes.

• El sistema de gestión de la seguridad de la información (ISMS) ISO 27001 preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y garantiza a todos los implicados, internos y externos, que los riesgos se gestionan adecuadamente.
• La norma ISO/IEC 27001:2013 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la seguridad de la información en el contexto de la organización.

• La nube de producción de Plume, que abarca las actividades empresariales relacionadas con las operaciones, el mantenimiento y la gestión de la plataforma en la nube de experiencia de consumo doméstico inteligente de Plume para proveedores de servicios de comunicaciones y consumidores, cuenta con el certificado ISO 27001.

  

• El sistema de gestión de privacidad de la información (PIMS) ISO 27701 se basa en la norma ISO/IEC 27001 y ayuda a las organizaciones a conciliar los requisitos normativos de privacidad. La norma describe un conjunto completo de controles operativos que se pueden asignar a diversas normativas, como el RGPD y la CCPA. Una vez asignados, los profesionales de la privacidad implementan los controles operativos de PIMS y los auditan auditores internos o externos, lo que da lugar a un certificado y pruebas completas de conformidad.
• Esta norma especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de privacidad de la información (PIMS) en forma de extensión a ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la privacidad en el contexto de la organización.
• La nube de producción de Plume, que abarca las actividades empresariales relacionadas con las operaciones, el mantenimiento y la gestión de la plataforma en la nube de experiencia de consumo doméstico inteligente de Plume para proveedores de servicios de comunicaciones y consumidores, cuenta con el certificado ISO 27701.
  

  

• El Marco de privacidad de datos es un conjunto completo de directrices y estándares desarrollados para facilitar y regular la transferencia de datos personales entre organizaciones que operan en diferentes países. El Departamento de Comercio de los Estados Unidos y la Administración de Comercio Internacional supervisan dicho marco.
• Este marco está formado por el Marco de Privacidad de Datos UE-EE. UU, la extensión del Reino Unido al Marco de Privacidad de Datos UE-EE. UU y el Marco de Privacidad de Datos de Suiza-EE. UU. Se otorgó oficialmente el certificado del Marco de Privacidad de Datos respecto a los tres.
• Puedes ver las pruebas de la verificación de Plume escribiendo «Plume Design Inc» en la barra de búsqueda del sitio web del Marco de Privacidad de Datos.