- ISO 27001
- SOC 2 Type II
- RGPD (Reglamento General de Protección de Datos)
- HIPAA BAA (Ley de Portabilidad y Responsabilidad de Seguros de Salud - Acuerdo de asociado comercial)
- CCPA (Ley de Privacidad del Consumidor de California)
Synology mantiene la certificación formal ISO/IEC 27001:2022 para sus operaciones corporativas, validada mediante rigurosas auditorías independientes. Esta certificación confirma que Synology ha establecido y mantiene un completo sistema de gestión de seguridad de la información (SGSI), diseñado para proteger la confidencialidad, integridad y disponibilidad (CIA) de los datos.
Para sus servicios de nube, Synology trabaja con centros de datos de colocación de terceros que mantienen instalaciones certificadas ISO 27001, lo que garantiza que la infraestructura física y los controles de seguridad a nivel de instalaciones se gestionan de acuerdo con normas internacionales de seguridad de la información reconocidas.
Al mantener este estándar reconocido globalmente, Synology garantiza que la gobernanza de seguridad es un proceso sistemático y continuo, proporcionando a los clientes la garantía verificada de que su información se gestiona bajo los protocolos de seguridad más altos.
El centro de datos Synology C2 ubicado en Estados Unidos se mantiene bajo estos altos estándares, incluyendo rigurosos protocolos de seguridad física, controles de acceso multifactor y monitoreo avanzado de red. Al seleccionar centros de datos de colocación en EE. UU. certificados bajo SOC 2 Type II, Synology respalda un entorno de alojamiento seguro y bien controlado para los usuarios que requieren una gestión certificada de sus activos de información.
Más allá de la protección de la información personal, Synology mantiene un compromiso fundamental con la soberanía de los datos de los usuarios. Synology no accede, utiliza ni procesa los datos almacenados por los usuarios en sus dispositivos de hardware o en la nube. Nuestros sistemas están diseñados para garantizar que los activos digitales permanezcan exclusivamente bajo el control del usuario, protegidos por una arquitectura que prioriza la autonomía y la propiedad absolutas.
Los dispositivos de hardware de Synology y los servicios de nube aplicables proporcionan las capacidades técnicas esenciales necesarias para construir un entorno compatible con HIPAA. Estas incluyen controles de acceso avanzados, protecciones de integridad de datos y registros de auditoría completos. Si bien la responsabilidad del cumplimiento regulatorio final recae en la entidad cubierta, las soluciones de Synology sirven como una base sólida, permitiendo a los usuarios implementar y gestionar su infraestructura en consonancia con estrictas salvaguardas administrativas, físicas y técnicas.
El marco de gobernanza está diseñado para proporcionar a los consumidores una visibilidad clara sobre las categorías de información personal recopilada y los fines específicos para los que se utiliza. Para facilitar estas protecciones, Synology implementa sólidas medidas técnicas y organizativas que permiten a los usuarios ejercer sus derechos legales, incluyendo el derecho a saber, el derecho a eliminar y el derecho a optar por no participar, asegurando así la plena autoridad sobre su identidad digital.
- Seguridad física de los centros de datos y la infraestructura en la nube de C2.
- Mantenimiento y aplicación de parches en hardware, sistema operativo, firmware y paquetes de software.
- Módulos criptográficos seguros para datos en reposo y en tránsito.
- Implementación de la administración y control de acceso y políticas de contraseñas seguras.
- Configuración de la seguridad de red, firewalls y VPN.
- Gestión del ciclo de vida de los datos de los usuarios finales y solicitudes de privacidad.
C2 OneStorage C2 Storage for Hyper Backup C2 Storage for Hybrid Share C2 Identity Más información C2 Object Storage Más información C2 Backup for Business Más información C2 Backup for Surveillance Más información
Synology y C2 operan centros de datos de colocation en Europa, la región APAC y Estados Unidos, los cuales cuentan con la certificación ISO 27001, uno de los estándares internacionales más reconocidos en la gestión de la seguridad de la información. Además, los centros de datos en Estados Unidos también cuentan con la certificación SOC 2 Tipo II, lo que demuestra la implementación de estrictos controles de seguridad y procesos operativos para garantizar la protección de los datos de los usuarios. Asimismo, Synology procesa la información de pago de acuerdo con el estándar PCI DSS y utiliza un proveedor de servicios PCI Nivel 1 para el procesamiento y almacenamiento de datos de facturación.
Los BAA están actualmente disponibles para C2 Object Storage, C2 OneStorage, C2 Identity, Active Insight, C2 Backup for Business y C2 Backup for Surveillance. Las solicitudes pueden enviarse a través del enlace anterior para la solicitud de informes. Un representante se pondrá en contacto para confirmar los detalles y proporcionar una copia digital del acuerdo para su firma.
La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) fue introducida por el Congreso de los EE. UU. en 1996 para establecer estándares regulatorios para el uso y divulgación legal de la información de salud protegida electrónica (ePHI). Según las regulaciones de HIPAA, se espera que los proveedores de atención médica y las empresas cumplan con un conjunto de requisitos destinados a garantizar la privacidad y seguridad de cualquier ePHI que se cree, gestione, reciba o transmita.
La legislación HIPAA consta de cinco reglas. Cada regla establece diferentes requisitos para el cumplimiento de HIPAA:
- Regla de privacidad: Cómo, cuándo y bajo qué circunstancias se puede usar y divulgar la ePHI
- Regla de seguridad: Estándares técnicos, físicos y administrativos para salvaguardar la integridad de la ePHI
- Regla Ómnibus: Integración de las disposiciones de HITECH en HIPAA para fortalecer la protección de la ePHI
- Regla de notificación de brechas: Términos y condiciones para la notificación de brechas de datos que involucren ePHI a las partes interesadas y al público
- Regla de cumplimiento: Investigación y sanciones aplicadas tras una brecha de datos que involucre ePHI
A lo largo de los años, los requisitos se han integrado y ampliado en respuesta a los avances tecnológicos en el sector sanitario y otras industrias.
Una arquitectura de 'no visualización' (no-view) significa que un Proveedor de Servicios en la Nube (CSP) mantiene de forma segura datos cifrados, como la ePHI, en nombre de un cliente sin tener acceso en ningún momento a la clave de descifrado. Bajo este marco, los procesos del backend realizan las transiciones de estado de forma independiente de la visualización de los datos o del descifrado del contenido, confiando estrictamente en canales seguros para manejar los datos sin 'verlos'.