Estas medidas complementan los Términos de Seguridad y Privacidad de Fitbit.

Fitbit exige a los Proveedores que manejan Datos de Fitbit que cumplan ciertas medidas mínimas de seguridad organizativa y técnica.

El Proveedor debe desarrollar, mantener y/o implementar un programa integral de seguridad de la información por escrito que se adhiera a estas medidas. El programa de seguridad de la información del Proveedor deberá incluir salvaguardas administrativas, técnicas y físicas para proteger los Datos de Fitbit que deben ser por lo menos tan rigurosas como las prácticas aceptadas en el sector (incluidas, con carácter meramente enunciativo, las normas de la Organización Internacional de Normalización: ISO/IEC 27001:2013 – Sistemas de Gestión de la Seguridad de la Información – Requisitos e ISO-IEC 27002:2013 – Código de Prácticas para los Controles de Seguridad de la Información, o la norma SOC 2 de Control de Organizaciones de Servicios del Instituto Americano de Contadores Públicos Certificados (AICPA, por sus siglas en inglés)) y otras medidas de seguridad diseñadas para: (i) garantizar la seguridad y la confidencialidad de los Datos de Fitbit; (ii) proteger contra cualquier amenaza o peligro previsto para la seguridad y la integridad de los Datos de Fitbit; y (iii) proteger contra cualquier tratamiento, pérdida, uso, divulgación o adquisición no autorizada, real o supuesta, de cualesquiera Datos de Fitbit, o contra el acceso a tales datos. Sin limitar el carácter general de lo anterior, dichas medidas incluirán, como mínimo:

• Protocolos seguros de autenticación de usuarios. Utilizar una solución de inicio de sesión con autenticación de múltiples factores para controlar el acceso de los usuarios al entorno informático del Proveedor, incluidos, con carácter meramente enunciativo, el acceso a: (a) cualquier conexión VPN al entorno informático corporativo del Proveedor (incluido el sistema de correo electrónico del Proveedor si se puede acceder a él desde Internet); (b) cualquier conexión al entorno informático de producción del Proveedor; y (c) cualquier otro software o servicio que el Proveedor pueda utilizar en su ejecución de los Contratos Aplicables que pueda transmitir, procesar o almacenar Datos de Fitbit
• Medidas de control de acceso seguro. En la medida en que el Proveedor proporcione una solución SaaS a Fitbit, debe integrarse con una solución de inicio de sesión único (SSO), basada en SAML, aprobada por Fitbit.
• Gestión de Datos de Fitbit. Mantener un perímetro entre los entornos informáticos corporativo y de producción del Proveedor, incluidos, con carácter meramente enunciativo, el mantenimiento de controles de acceso al perímetro de producción y la limitación de acceso al entorno informático de producción a aquellas personas cuyas funciones requieran dicho acceso. El Proveedor debe garantizar la separación entre los datos de Fitbit y los datos de otros clientes del Proveedor ubicados en el entorno informático de producción del Proveedor. El Proveedor no debe trasladar los datos de Fitbit fuera del entorno informático corporativo o de producción del Proveedor a menos que reciba el consentimiento previo por escrito de Fitbit. En concreto, los Datos de Fitbit no deben descargarse en teléfonos, tabletas, ordenadores portátiles o de sobremesa, y no deben compartirse con terceros fuera de los entornos informáticos corporativo o de producción del Proveedor.
• Transmisión segura. Si la gestión de los Datos de Fitbit por parte del Proveedor implica la transmisión de Datos de Fitbit a través de una red, el Proveedor garantizará un nivel de seguridad adecuado a los riesgos asociados a la transmisión y a la naturaleza de los Datos de Fitbit (por ejemplo, datos personales), incluido, con carácter meramente enunciativo, el uso de versiones seguras y soportadas de forma activa de Transport Layer Security (TLS) para el cifrado del transporte.
• Cifrado en reposo. Cifrado de los Datos de Fitbit almacenados en reposo utilizando algoritmos de cifrado estándar del sector (por ejemplo, AES).
• Configuración segura. Implantación de controles de seguridad de la red, los dispositivos, las aplicaciones, las bases de datos y las plataformas de acuerdo con las normas del sector (por ejemplo, las plantillas de políticas de seguridad de la información del Instituto SANS, las Guías técnicas de aplicación de la seguridad (STIG, por sus siglas en inglés) de la Agencia de Sistemas de Información de Defensa (DSIA, por sus siglas en inglés)).
• Supervisión y respuesta continuas. Implantación y mantenimiento de herramientas continuas de detección y respuesta de puntos finales y de capacidad antimalware actualizada. Supervisar, detectar y alertar de forma proactiva sobre actividades sospechosas o maliciosas en los entornos informáticos corporativo y de producción del Proveedor, según corresponda. El Proveedor también debe mantener un programa de respuesta a incidentes capaz de responder a y solucionar los incidentes de seguridad una vez descubiertos.
• Ciclo de vida de desarrollo de software y gestión de cambios. Implantar y mantener la capacidad para desarrollar un ciclo de vida de desarrollo de software seguro teniendo en cuenta las mejores prácticas del Open Web Application Security Project y los procedimientos formales de gestión de cambios que consideran el impacto de la seguridad de los cambios antes de realizarlos.
• Gestión de vulnerabilidades. Un programa de gestión de las vulnerabilidades de seguridad que incluya la detección y corrección periódicas de las vulnerabilidades en los sistemas que transmiten, tratan o almacenan Datos de Fitbit. El programa debe incluir procedimientos para evaluar y mitigar las vulnerabilidades en función de la criticidad y validar el trabajo de corrección.
• Corrección de vulnerabilidades. Corregir oportunamente los hallazgos de gravedad alta y crítica, incluida la aplicación de parches de seguridad según sea necesario, en el entorno informático corporativo y de producción del Proveedor, incluidos, con carácter meramente enunciativo, los servidores, los puntos finales y los sistemas de gestión de puntos finales del Proveedor. Cualquier vulnerabilidad de gravedad "crítica" y "alta" que no se solucione en un plazo de sesenta (60) días desde que el Proveedor tenga conocimiento de la vulnerabilidad deberá notificarse a Fitbit, incluyendo la identificación de cualquier riesgo para los Datos de Fitbit derivado de la incapacidad del Proveedor para solucionar la vulnerabilidad.
• Pruebas de penetración de aplicaciones y redes. Al menos una vez al año, un tercero independiente realizará pruebas con el fin de comprobar la seguridad de la aplicación y la red del Proveedor. Estas pruebas deben realizarse en: (i) cualquier solución SaaS que el Proveedor proporcione a Fitbit; (ii) todos los aspectos del perímetro de la infraestructura de la red del Proveedor orientado a Internet; y (iii) el entorno informático corporativo y de producción del Proveedor. Cuando se le solicite, el Proveedor deberá proporcionar a Fitbit información que resuma qué tercero ha realizado dichas pruebas y el correspondiente alcance y resumen de los resultados.
• Seguridad del personal. El Proveedor deberá implementar y mantener procedimientos y prácticas razonables de seguridad e integridad del personal, incluido, con carácter meramente enunciativo, la realización de verificaciones de antecedentes de acuerdo con las leyes aplicables.
• Concienciación en materia de seguridad. Un programa de formación y concienciación en materia de seguridad que se imparta en relación con la incorporación de nuevos empleados y, posteriormente, cada año.

Además, en la medida en que, como parte de la ejecución de los Contratos Aplicables, el Proveedor transmita, almacene o trate datos de titulares de tarjetas (tal y como se define dicho término en el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (“PCI DSS”, por sus siglas en inglés)) en nombre de Fitbit, entonces, en relación con ello, el Proveedor deberá cumplir con el PCI DSS. Además, el Proveedor deberá realizar todas las tareas, evaluaciones, revisiones, pruebas de penetración, escaneos y otras actividades necesarias (incluida cualquier guía de cumplimiento emitida por el Consejo de Normas de Seguridad de la PCI) o de otro tipo para validar el cumplimiento de la PCI DSS por parte del Proveedor en lo que respecta a los elementos del sistema y las partes del entorno de datos de los titulares de las tarjetas (tal y como se definen dichos términos en la PCI DSS) de los que es responsable el Proveedor. A petición de Fitbit, el Proveedor entregará a Fitbit una copia de su certificado anual de cumplimiento emitido por la PCI para verificar dicho cumplimiento.

En aras de lo anterior, de vez en cuando, a petición razonable de Fitbit, el Proveedor completará puntualmente un certificado declarando y garantizando a Fitbit el cumplimiento continuo de las medidas anteriores y proporcionará a Fitbit cualquier información que Fitbit determine razonablemente es necesaria para determinar que el Proveedor está actuando en cumplimiento de lo anterior.