Plan de Seguridad de la Información
A partir del 1 de julio de 2021; actualizado el 1 de julio de 2022
TABLA DE CONTENIDO
Privacidad y seguridad por diseño
Teniendo en cuenta el estado del arte, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como el riesgo de probabilidad variable y gravedad de una violación de datos, Boom Learning implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que plantea la exposición de los Datos del usuario a personas no autorizadas.
Minimización de datos
Boom Learning le brinda opciones sobre los elementos de datos para entregar a Boom Learning. Debe ejercer esas opciones considerando el daño al interesado en caso de que los datos estén expuestos, teniendo en cuenta la sensibilidad de los datos que se recopilan, el riesgo de exposición y el potencial de daño si se exponen. Tiene la opción de evitar que se muestre la información del directorio a estudiantes y padres de familia.
Exactitud de datos/prácticas de corrección
Boom Learning brinda a los educadores la capacidad de eliminar registros de datos para eliminar los datos. Los educadores también tienen pantallas de registro detalladas de las respuestas de los estudiantes para evaluar la confiabilidad de los informes de datos. Los padres de familia y los estudiantes pueden cuestionar la precisión de los datos comunicándose con su educador. Los educadores pueden cuestionar la precisión de los datos comunicándose con [email protected].
Marco de ciberseguridad del NIST
Boom Learning utiliza la privacidad por diseño y las mejores prácticas de la industria para proteger los datos, teniendo en cuenta la naturaleza de los datos en riesgo y el riesgo de daño a los interesados. Boom Learning ha adoptado el marco de seguridad cibernética del NIST, ya que se actualiza de vez en cuando como su guía principal para seleccionar e implementar tecnologías, salvaguardas y prácticas de privacidad, siempre que; sin embargo, Boom Learning pueda hacer referencia e implementar otros modelos de protección cuando corresponda. Las prácticas de seguridad implementadas incluyen, entre otras, (a) limitar los intentos de inicio de sesión fallidos, (b) no conservar los datos de la aplicación móvil, (c) cierre de sesión remoto para dispositivos para educadores en caso de pérdida, extravío o robo del dispositivo, (d) registros de auditoría para actividades que presentan un riesgo de incumplimiento y para acciones que requieren responsabilidad, y (e) hacer cumplir la complejidad mínima de la contraseña. La adopción incluye la evaluación periódica de riesgos de nuestras prácticas y las de nuestros subcontratistas y subprocesadores.
Acceso de necesidad de saber
A los empleados, agentes y subcontratistas de Boom Learning se les proporciona acceso a los Datos de usuario según sea necesario. Aquellos con acceso a los datos financieros del estudiante o del educador deben pasar una verificación de antecedentes. Dichos usuarios están sujetos a obligaciones de confidencialidad consistentes con las promesas y obligaciones en nuestro Aviso de Privacidad.
Cifrado
Los datos se cifran en tránsito y en reposo utilizando tecnologías y metodologías especificadas y permitidas por la Secretaría del Departamento de Salud y Servicios Humanos de los Estados Unidos en la guía emitida en virtud de la Sección 13402(H)(2) de la Ley Pública 111-5. Se utilizan capas de transporte seguras para evitar el acceso no autorizado.
Acceso autenticado
Solo se puede acceder a los datos a través de cuentas autenticadas. Requerimos contraseñas tanto a nivel de Educador como de Estudiante para mantener los datos seguros. Las contraseñas están encriptadas. No podemos ver su contraseña o las contraseñas de sus estudiantes. Proporcionamos herramientas en la aplicación para que pueda restablecer las contraseñas. Las contraseñas de los estudiantes son establecidas y restablecidas por los maestros. Use buenas prácticas de contraseña para mantener seguros a sus estudiantes. Los miembros de nuestro equipo usan administradores de contraseñas, y también usted debería hacerlo. Los datos de los estudiantes solo son accesibles para aquellos educadores que tienen direcciones de correo electrónico confirmadas.
Almacenes de datos protegidos
El almacén de datos principal es la base de datos de Boom Learning. Esta base de datos contiene los datos de los estudiantes y los datos del educador. Los datos de usuario se cifran en tránsito y en reposo, se almacenan en instalaciones seguras y con protección de cortafuegos.
Boom Learning involucra a subcontratistas (que actúan en funciones similares a las de los empleados) y subprocesadores (proveedores de servicios basados en la nube) para almacenar y procesar Datos de usuario. Consulte nuestra divulgación sobre subprocesadores y subcontratistas para ver nuestra lista de subcontratistas y subprocesadores actuales. Boom Learning llevará a cabo la diligencia debida adecuada para garantizar que cualquier subcontratista o subprocesador pueda cumplir con sus obligaciones con Boom Learning según la ley. Boom Learning seguirá siendo responsable del cumplimiento de sus obligaciones de protección de datos y de cualquier acto u omisión de un subcontratista o subprocesador que haga que Boom Learning incumpla cualquiera de sus obligaciones de privacidad y seguridad de datos con usted.
Con respecto a cada subcontratista que recibe Datos de usuario de Boom Learning, Boom Learning firmará un acuerdo por escrito en virtud del cual el subcontratista debe participar en una capacitación anual sobre privacidad y seguridad, estar sujeto a verificaciones de antecedentes si el subcontratista tiene acceso a Datos de estudiantes y usar medidas de seguridad consistentes con las impuestas a Boom Learning.
Con respecto a cada subprocesador que recibe Datos de usuario de Boom Learning, Boom Learning celebrará un acuerdo por escrito en virtud del cual el subprocesador acepta que no tiene derecho de acceso, uso o divulgación de los Datos protegidos y en virtud del cual el subprocesador acepta aplicar medidas de seguridad consistentes o superiores a las impuestas a Boom Learning por ley o contrato.
Capacitación
Todos los empleados y subcontratistas a los que se les otorga autorización para acceder a los datos reciben capacitación anual sobre las responsabilidades y obligaciones de seguridad y privacidad de Boom Learning, incluida la concienciación sobre amenazas, la protección contra amenazas, las mejores prácticas y salvaguardas de seguridad y las políticas y procedimientos de la empresa. La capacitación se lleva a cabo con más frecuencia como respuesta a las amenazas en evolución dentro de la comunidad educativa. Boom Learning proporciona a los usuarios boletines informativos sobre cómo mantener la seguridad de los datos protegidos. Los usuarios que opten por no recibir nuestros boletines no recibirán dichos boletines. Los educadores pueden comunicarse con nosotros si tienen inquietudes o preguntas de seguridad.
Dispositivos portables
Boom Learning utiliza computadoras y dispositivos portátiles para acceder a sus servidores. Dichos dispositivos y computadoras portátiles están protegidos con códigos de acceso y contraseñas y están sujetos a borrado remoto en caso de pérdida. En el raro caso de que los datos de los estudiantes se almacenen temporalmente fuera de línea, los datos se almacenan encriptados en reposo.
Copias de seguridad
Boom Learning realiza copias de seguridad de datos frecuentes (cada hora o más) para fallas del sistema y recuperación ante desastres. Las copias de seguridad están encriptadas. Las copias de seguridad no se utilizan ni se accede a ellas para recuperar los datos eliminados del educador. Si usted dice que los eliminemos, le tomamos la palabra. Las copias de seguridad se almacenan solo durante el tiempo que sea necesario para cumplir con su propósito de recuperación, aproximadamente 90 días.