Cómo Veriff mantiene su información segura

1. Procesamiento de datos personales

Your rights. Veriff recognizes each and every individual going through its verification flow as a data subject. The data subject is always in the center of Veriff’s service. You as the data subject, are entitled to specific information and exercising of data privacy rights. That is why Veriff makes it clear in its Privacy Notice that Veriff is providing its verification services to other companies - Veriff collects your data via its verification service only if you have been directed there by a business customer of Veriff. Veriff’s customer, the company asking you to verify your identity, is the one who decides how and for which purposes Veriff processes your data. This also means that they must tell you how they and Veriff process your data and make sure you can exercise your rights along the way.

Veriff’s services process personal data. The EU’s General Data Protection Regulation (known as GDPR) defines personal data as any information about an individual who can be identified, directly or indirectly, by name, ID number, or other factors relating to an individual's physical, physiological, genetic, mental, economic, cultural or social identity. The data collected by Veriff for your identification is personal data and Veriff’s customers must ensure that they have a valid legal basis for allowing Veriff to use the data for its services.

Los servicios de Veriff pueden procesar datos personales sensibles. Los datos sensibles son una subcategoría de datos personales. Existen diferentes definiciones de “datos sensibles” en diferentes países. Sin embargo, generalmente se centran en datos que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, membresía a sindicatos, y datos genéticos, datos biométricos (con el propósito de identificar de manera única a una persona), datos de salud, o datos que conciernen la vida sexual de una persona o su orientación sexual. Como parte de su servicio, Veriff puede procesar sus datos sensibles. Por ejemplo, los servicios de Veriff pueden procesar información sobre su rostro que constituye datos biométricos. Esta es una nota importante ya que, dependiendo de por qué nuestros clientes utilizan nuestros servicios, pueden necesitar cumplir con requisitos legales más estrictos. Aunque los requisitos en torno al procesamiento de biométricos son estrictos, es importante notar que los biométricos pueden proporcionar una sólida capa de seguridad contra malos actores mientras minimizan la cantidad de datos procesados.

Supervisión por parte de autoridades. El cumplimiento de las leyes de privacidad de datos en todo el mundo está bajo un escrutinio elevado por parte de las autoridades de protección de datos locales. Veriff también es supervisado por las autoridades locales de protección de datos y asegura la plena cooperación con las autoridades de diferentes Estados Miembros de la UE y más allá.

2. Evaluaciones de riesgos y un equipo dedicado

El equipo de privacidad y cumplimiento de Veriff, junto con nuestro oficial de protección de datos, lleva a cabo constantemente evaluaciones de impacto sobre la protección de datos. Estas evaluaciones no solo cumplen con los requisitos legales, sino que también permiten a Veriff identificar y abordar de manera proactiva los riesgos relacionados con nuestros productos y servicios. Al aprovechar nuestra competencia legal interna y tomar medidas proactivas, Veriff garantiza el más alto nivel de seguridad de datos para mantener nuestro compromiso de proteger su privacidad

3. No venta ni compartición no autorizada de datos de usuarios finales

Como se establece en el Aviso de Privacidad de Veriff, divulgaremos sus datos personales al cliente que nos haya autorizado a proporcionarle el servicio de verificación de identidad. Además, como parte integral del servicio de verificación de identidad, sus datos personales pueden ser divulgados a nuestros subprocesadores cuidadosamente seleccionados. Estos son proveedores de servicios que nos ayudan con diferentes servicios de procesamiento de datos y almacenamiento de datos, siendo esenciales para proporcionar nuestro servicio de verificación de identidad. Internamente, el acceso a los datos se otorga sobre la base de necesidad de conocimiento y mínimo privilegio. Esto significa que a nuestros empleados solo se les concede la información y derechos de acceso estrictamente necesarios para sus tareas específicas. Esto asegura que sus datos estén siempre protegidos sin acceso no autorizado

4. Períodos de almacenamiento de datos fijos

El término para mantener sus datos está fijado en las políticas internas y los acuerdos de cliente. Veriff nunca mantiene datos indefinidamente. Por ejemplo, como estándar, los datos personales que se procesan en nombre de nuestros clientes se almacenan por no más de 3 años. Sin embargo, en el contexto de los servicios de verificación de identidad, esto puede diferir según las instrucciones del cliente. Es por eso que la empresa que solicitó su verificación de identidad es la que puede decirle el tiempo exacto por el cual sus datos se almacenan y utilizan para la verificación de identidad.

5. Cifrado en reposo y en tránsito

En Veriff, los datos están cifrados tanto en reposo como en tránsito. El cifrado es el proceso de convertir datos en un formato ilegible, haciéndolos inaccesibles para el usuario que no tiene la clave de descifrado. El cifrado permite una protección segura y confidencial de extremo a extremo de los datos al proteger su contenido

Los datos en tránsito están cifrados usando Transport Layer Security (TLS) 1.2 o una versión más reciente. TLS es el protocolo que permite a los dispositivos digitales (como computadoras y teléfonos) comunicarse de manera segura a través de Internet sin que la transmisión sea vulnerable a una audiencia externa. Los datos en reposo están cifrados utilizando el estándar de cifrado avanzado AES-256. AES es un cifrado de clave simétrica, lo que significa que se utiliza la misma clave tanto para el cifrado como para el descifrado de los datos

Además, todas las aplicaciones internas alojadas por Veriff y utilizadas para gestionar datos personales también están canalizadas a través de VPN como una medida adicional para reducir la superficie de ataque y proporcionar una capa de protección adicional alrededor del TLS estándar.

6. Seguridad desde el diseño y por defecto

Veriff ha adquirido y mantenido durante años la certificación de cumplimiento SOC 2 Tipo 2. Esto confirma que los sistemas de Veriff están diseñados para mantener segura la información de sus clientes. Cuando se trata de trabajar con un proveedor de servicios de verificación de identidad, tal fiabilidad es absolutamente crucial porque somos muy conscientes de que los casos de violaciones y filtraciones de datos personales pueden tener consecuencias que cambian la vida.

Veriff también ha obtenido la certificación contra la norma ISO/IEC 27001:2022, un estándar de seguridad de la información reconocido internacionalmente publicado por la Organización Internacional de Normalización (ISO). Veriff también está certificado contra el esquema de Cyber Essentials del Reino Unido, diseñado para ayudar a proteger a las organizaciones contra una amplia gama de los ataques cibernéticos más comunes. Puede aprender más sobre Cyber Essentials en la página web del Centro Nacional de Ciberseguridad del Reino Unido.

Estas medidas de seguridad son solo algunos ejemplos que se implementan aquí en Veriff. Tomamos todas las precauciones necesarias para ofrecerle tranquilidad al usar nuestro servicio de verificación de identidad. Siempre seguimos las actualizaciones relevantes e implementamos medidas adicionales para asegurar el cumplimiento.

7. ¿Dónde puede leer más?

Siempre nos emociona conocer sus comentarios, opiniones e ideas; puede encontrar formas de contactarnos en nuestro Aviso de Privacidad.

Puede conocer más sobre nuestras prácticas de seguridad en la página de Seguridad y Cumplimiento y en el Centro de Confianza de Veriff.