Auditoría

PARTE TÉCNICO – LEGAL:

Protección de datos:

  • ¿Cumple con aquello que se considera datos personales en base al art. 4.1 RUE 2016/679?
  • ¿Los datos son tratados en base a la definición del art. 4.2 RUE 2016/679 ?
  • ¿Los ficheros de datos resultan debidamente tratados según definición del art. 4.6 RUE 2016/679?
  • ¿Existe un responsable del tratamiento de datos según definición de responsable fijada por art. 4.7 RUE 2016/679?
  • ¿Los datos personales están salvaguardados técnicamente en base al art. 5.1.f RUE 2016/679?
  • ¿El responsable del tratamiento de los datos cumple con la capacitación requerida en base al art. 5.2 RUE 2016/679?
  • ¿Existen las medidas técnicas suficientes para dar cumplimiento a la exigencia establecida en el art. 8.2 RUE 2016/679  en lo que concierne a evitar el acceso a menores?
  • ¿Están adecuadamente implementadas las medidas para facilitar el derecho de los interesados en relación a los derechos ARCO que les asisten? (art. 12 RUE 2016/679  y otros)
  • ¿Se cumplen los requisitos de garantía y seguridad en el tratamiento de datos establecidos en los art. 25 y 32 RUE 2016/679? ? O, en caso aplicable, ¿en los art. 28 a 31 del RUE 2016/679?
  • ¿Existe el protocolo que da pie a cumplir con el deber de notificación en caso de una violación de seguridad establecidos en los art. 33 y 34 del RUE 2016/679?
  • ¿Existe alguna certificación en vigor que certifique el adecuado cumplimiento de todo lo concerniente a la protección de datos en base a los art. 42 y 43 RUE 2016/679?

(CONSECUENCIAS PUNITIVAS: MULTAS DE HASTA EL 4% DE LA FACTURACIÓN O 20.000.000€, SEGÚN EL CASO)

LSSI:

  • ¿Cumple con los requisitos de identificación por medios electrónicos establecida en el art.10 LSSI?
  • ¿Cumple con los requisitos de información a los clientes en materia de seguridad informática del art.12 LSSI?
  • ¿Existen terceros de confianza para reforzar los contratos celebrados por vía electrónica en base al art. 25.1 LSSI? Y, en caso afirmativo, ¿el mismo reúne los requisitos establecidos en el art. 25.2 LSSI?

(CONSECUENCIAS PUNITIVAS: MULTAS DE HASTA 600.000€)

Consecuencias penales:

  • ¿La empresa tiene establecido el protocolo a nivel de los usos telemáticos suficiente para no dar cabida a la responsabilidad penal societaria del art.31 CP para que aunque no se incurra en delito directo por parte del administrador no se incurra en una dejadez en la obligación de debido cuidado para prevenir que sucediese el acto ilícito dentro del seno de la compañía?

(CONSECUENCIAS PUNITIVAS: DISTINTAS PENAS SEGÚN EL TIPO DE DELITO COMETIDO)

Cumplimientos en legislación sobre el uso telemático tributario:

  • ¿La empresa cuenta con los aplicativos suficientes que garanticen el adecuado cumplimiento de lo establecido legalmente para su desempeño en relación a las obligaciones tributarias?

(MULTAS DE DISTINTA CUANTÍA SEGÚN EL TIPO DE INCUMPLIMIENTO)

 

PARTE ESTRUCTURAL:

  • ¿Todos los dispositivos conectados a Internet están supervisados y asegurados de forma individual en materia de seguridad?
  • ¿Todos los dispositivos conectados cuentan con su última versión S.O o Firmware?
  • ¿Todo el aplicativo utilizado en todos los dispositivos cuenta con la última versión lanzada?
  • ¿Todos los dispositivos, aplicativos y sistemas que soportan capas de autenticación cuentan con elementos activos establecidos?
  • ¿Todos los empleados son supervisados de sus usos tecnológicos en el seno de la empresa y en movilidad?
  • ¿La empresa cuenta con las debidas medidas de protección de datos aplicables?
  • ¿Todos los sitios Web corporativos cuentan con todos los requisitos exigidos a nivel legal?
  • ¿La empresa utiliza todos los elementos IoT en sus instalaciones no obsoletos?
  • ¿Existen dispositivos con más de 2 años de antigüedad?
  • ¿Existe algún tipo de utilización de software sin licencia oficial o se ha realizado root o jailbreak?
  • ¿Se utilizan sistemas de inteligencia de datos?
  • ¿La utilización de los sistemas y elementos en la nube es completa, precisa y controlada?
  • Mediante una búsqueda limpia en Google, ¿existen críticas aparentes sobre la compañía?
  • ¿El sistema de medición de Klout da una reputación de 60 o más a los perfiles de la empresa?
  • ¿La Web principal cuenta con blog integrado y su contenido está actualizado (más de 1 vez por semana de forma recurrente), resulta relevante y está adaptado a SEO?
  • Corporativamente, ¿se cuenta con un mínimo de 4 redes sociales activas (Facebook, Twitter, Linkedin, Instagram)?
  • ¿La Web corporativa de la empresa cuenta con auditorías de seguridad externas dinámicas permanentes?
  • ¿La red corporativa de la empresa cuenta con auditorías de seguridad externas dinámicas permanentes?
  • ¿La empresa tiene conocimiento de haber sufrido un intento de ataque informático a lo largo del último año?
  • ¿La empresa acepta algún tipo de pago electrónico y todos ellos están debidamente protegidos punto a punto?