El Reglamento General de Protección de Datos (GDPR) es un reglamento de privacidad que tiene como objetivo proteger los datos personales de los residentes de la UE. Entró plenamente en vigor el 25 de mayo de 2018. Para ello, el GDPR define claramente el alcance de los datos personales, que es cualquier dato que pueda utilizarse para identificar a una persona, ya sea por sí mismo o en combinación con otro dato. Si una organización recopila datos personales de residentes de la UE, tendrá que cumplir con el GDPR sin importar dónde se encuentre.
En este contexto, los servicios de TI también entran en el ámbito de aplicación del GDPR, ya que recopilan, almacenan y procesan datos personales. Algunos de los datos personales con los que tratan regularmente los servicios de TI son:
Datos sobre el soporte tecnológico prestado a los clientes o al personal. Por ejemplo, información sobre cualquier tecnología de asistencia (por ejemplo, lectores de pantalla, tecnología de conversión de voz a texto) utilizada por empleados con capacidades diferentes.
Principios importantes del GDPR y cómo afectarán a su mesa de servicio de TI.
Ver webinario
El rol de la mesa de servicio de TI en el contexto del GDPR, y cómo desarrollar un programa de cumplimiento en su organización.
Descargar e-bookCon la autenticación de dos factores, el acceso basado en roles y los logs de actividad, nos aseguramos de que los usuarios cumplen las normas de seguridad necesarias.
En pocas palabras:
Nuestros servidores están ubicados en los centros de datos más seguros de EUA, UE, CN, IN, AU y JP. La región en la que alojamos los datos de su servicio depende del dominio de Zoho desde el que el administrador registró la cuenta de ServiceDesk Plus Cloud.
La siguiente tabla enumera los dominios de Zoho y las respectivas ubicaciones de alojamiento.
| Registro de dominio de Zoho | Ubicación del centro de datos |
| https://sdpondemand.manageengine.com | EUA (Estados Unidos) |
| https://sdpondemand.manageengine.eu | EU (Unión Europea) |
| https://sdpondemand.manageengine.in | IN (India) |
| https://servicedeskplus.net.au | AU (Australia) |
| https://servicedeskplus.cn | CN (China) |
| https://servicedeskplus.jp | JP (Japón) |
Para encontrar su centro de datos, vaya a Perfil > Mi cuenta y haga clic en el icono de perfil
Artículo 16 del GDPR: Derecho a la rectificación.
Los administradores pueden editar toda su información excepto la dirección de correo electrónico registrada, que es el identificador único de cada contacto.
Artículo 32 del GDPR: Los datos específicos del cliente se cifran en reposo.
Una vez que el usuario inicia sesión en ServiceDesk Plus Cloud, los datos confidenciales están protegidos contra el acceso, la divulgación o la modificación no autorizados. Esto lo garantizamos empleando numerosos protocolos de cifrado y métodos de seguridad. Sus datos se cifran tanto durante el tránsito como en reposo. El servidor siempre almacena las claves de cifrado y los datos del usuario en un formato cifrado. El administrador también puede cifrar los campos personalizados según su relevancia. Los archivos que se crean o adjuntan se guardan en el sistema de archivos distribuido (DFS) y están cifrados por defecto.
Artículo 15 del GDPR: Derecho de acceso.
Los agentes y los clientes tienen sus propios niveles de acceso a la información personal de los clientes (como nombre, dirección de correo electrónico y tickets) y pueden realizar muchas acciones sobre los datos. Los administradores pueden exportar tanto los datos de la organización como los de los usuarios finales desde la aplicación en formatos CSV o XLSX.
Referencia:
Artículo 17 del GDPR: Los usuarios tienen el control total de lo que cargan, modifican y borran de nuestro ecosistema.
Los usuarios pueden eliminar todos los datos creados, cargados y editados en ServiceDesk Plus Cloud cuando ya no sean relevantes.
Cuando un usuario/administrador elimina un registro, éste se elimina inmediatamente o se traslada a la papelera en función del tipo de registro. Por ejemplo, si se elimina un campo personalizado, se elimina de forma permanente, mientras que si se eliminan otros campos, se mueven a la papelera. Y una vez en la papelera, se eliminan al cabo de 30 días.
Los administradores pueden exportar datos de servicio para cada módulo de ServiceDesk Plus.
Referencia: https://help.sdpondemand.com/export-data
En los logs del sistema se puede acceder a más información histórica sobre las actividades realizadas en la aplicación. Se registra toda la información sobre las actividades clave realizadas en la aplicación. Los logs se pueden visualizar y exportar como archivos CSV y XLS.
Referencia: https://help.sdpondemand.com/view-system-log
Cuando un usuario borra datos personales en una organización, éstos se eliminan inmediatamente y se mueven a la papelera en función de su tipo. Por ejemplo, un campo adicional borrado se puede eliminar instantáneamente mientras que una solicitud borrada se mueve primero a la papelera. Desde la papelera, se elimina después de 30 días o se elimina instantáneamente si el usuario lo elimina manualmente.
Los datos se conservan en su cuenta mientras decida utilizar ServiceDesk Plus Cloud. Una vez que cancele su cuenta de ServiceDesk Plus Cloud, sus datos se eliminarán de la base de datos activa durante la siguiente limpieza que se realiza cada seis meses. Los datos eliminados de la base de datos activa se borrarán de las copias de seguridad transcurridos tres meses.
Referencia: https://www.zoho.com/compliance.html
ServiceDesk Plus está listo para cumplir el GDPR para ofrecerle una experiencia de servicio más segura.
Marque un campo de datos como PII al agregar un campo adicional a una plantilla para que pueda distinguir fácilmente la PII de otros datos.
El GDPR otorga a los individuos una serie de derechos, incluido el derecho a ser olvidado. Esto significa que los usuarios pueden pedir a una organización que elimine todos sus datos, o anonimizarlos si la eliminación de la información del usuario entra en conflicto con los procesos empresariales o infringe otras normativas. Ahora puede anonimizar los nombres de los usuarios y eliminar completamente el resto de su PII en ServiceDesk Plus para respetar su derecho a ser olvidados según el GDPR.
Cuando un usuario abandona la organización, los datos del usuario en los campos Número de celular y Número de teléfono se eliminarán de forma predeterminada. Todos los campos de PII/ePHI están marcados explícitamente dentro de la aplicación y se pueden anonimizar o borrar.
La protección de los datos sensibles es uno de los aspectos clave del GDPR. Teniendo esto en cuenta, ahora ServiceDesk Plus le permite cifrar la información confidencial recopilada y almacenada en los campos adicionales de solicitud. Los campos de una línea, de varias líneas y de lista de selección múltiple se pueden cifrar.
El archivo de copia de seguridad de ServiceDesk Plus está protegido por contraseña en caso de que alguien intente abrirlo o restaurarlo.
La información de los usuarios que han sido eliminados de la aplicación se puede anonimizar desde la vista de usuarios eliminados.
El log de PII/ePHI funciona como un registro histórico de todas las actividades en torno a los campos de PII/ePHI a través de la aplicación. Cada log de esta página contiene información sobre el módulo del campo de PII/ePHI, el submódulo, la acción y cuándo ocurrió exactamente. El administrador puede exportar los logs en formato CSV y XLS.
Proporcione un acceso seguro a los datos exportados desde ServiceDesk Plus Cloud incrustándolos dentro de un archivo zip protegido con contraseña. Los archivos protegidos con contraseña le ayudan a proteger los datos personales de sus usuarios según las normativas de privacidad vigentes.
El rol SDAdmin puede configurar una contraseña común para que la utilicen todos los usuarios y no usuarios, y los técnicos pueden configurar sus propias contraseñas específicas de inicio de sesión.
