VTEX opera en varias regiones del mundo y dispone de las herramientas necesarias para satisfacer las exigencias de privacidad de cada país. Por eso, VTEX siempre toma las medidas necesarias para garantizar que su plataforma sea segura y cumpla con las leyes de protección de datos.
Las herramientas que ofrecemos en la plataforma están diseñadas para garantizar que las tiendas cumplan la normativa sobre privacidad. Sin embargo, los retailers también deben adoptar medidas adicionales para cumplir la ley relativa al tratamiento de datos personales. Para comprender estos requisitos, consulta Roles en la protección de datos. Es importante señalar que se trata de directrices generales y que la normativa específica puede contener otras obligaciones.
Seguridad
VTEX mantiene medidas técnicas y organizativas apropiadas para proteger la seguridad, confidencialidad e integridad de los datos personales en el contexto de la prestación de servicios.
Consulta a continuación las prácticas adoptadas por VTEX, detalladas en el DPA:
- Política antivirus.
- Clasificación de la información.
- Gestión de vulnerabilidades.
- Cifrado de datos personales en reposo y en tránsito.
- Copia de seguridad y redundancia de datos. VTEX dispone de una herramienta específica que proporciona al cliente los medios para extraer una copia completa de todos los datos personales almacenados en la plataforma.
- Recuperación ante desastres y recuperación de incidentes en datos personales.
- Segregación de clientes y redes.
- Medidas físicas de seguridad.
- Supresión garantizada de todos los datos personales una vez finalizada la prestación de servicios.
- Garantía de que cualquier empleado con acceso a datos personales esté vinculado a acuerdos de confidencialidad con VTEX.
- Proceso específico de gestión y notificación de incidentes que garantiza que el cliente sea informado, tal como lo exige la legislación de protección de datos, en caso de que se detecte cualquier violación de datos personales.
- Apoyo a retailers para realizar la Evaluación de impacto relativa a la protección de datos (EIPD).
Para obtener más información, consulta Prácticas de seguridad - VTEX.
Almacenamiento
El proveedor de hosting utilizado por VTEX es Amazon Web Services (AWS), que almacena datos en la región de Virginia del Norte, en EE. UU. La plataforma AWS es un referente en el sector del hosting en la nube y cuenta con importantes certificaciones como ISO 27001, PCI DSS, CSA, NIST, entre otras. Puedes consultar una lista de certificaciones detallada accediendo a Programas de conformidad de AWS. La autorización para almacenar datos en AWS se encuentra en nuestro DPA.
VTEX solo almacena los datos personales durante el tiempo necesario para el procesamiento del servicio prestado.
Conservación de datos personales
Los límites de conservación de datos definen la duración durante la cual los datos pueden almacenarse en VTEX. En estos límites influyen varios factores, como requisitos jurídicos y de cumplimiento, consideraciones sobre la privacidad de datos y los costos. Al establecer límites de conservación de datos pretendemos garantizar el cumplimiento del reglamento, proteger la privacidad de los usuarios y mantener una asignación eficiente de los recursos.
La responsabilidad del cumplimiento de las leyes y reglamentos aplicables recae sobre el propio retailer. Esto incluye definir y respetar los periodos de conservación de datos, que pueden variar en función de la legislación específica a la que esté sujeta cada tienda.
VTEX facilita los datos en función de la capacidad técnica de cada módulo, pero si es necesario cumplir una legislación específica, los retailers deben extraer los datos relevantes de la plataforma. Por lo tanto, corresponde a cada retailer gestionar sus propios periodos de conservación, tal como exige la legislación aplicable, utilizando adecuadamente los recursos disponibles en la plataforma.
VTEX tiene la obligación de conservar los datos personales del comprador durante la vigencia del MSA. En caso de rescisión del contrato con VTEX, el retailer deberá garantizar la extracción de los datos de Master Data en un plazo de 30 (treinta) días antes de la fecha de rescisión del MSA, de conformidad con la cláusula 7 del DPA.