Postura de cumplimiento
Controles a los que disenamos, no insignias que reclamamos.
Wolyra no posee actualmente una certificacion de cumplimiento de terceros. Publicamos una postura escrita de controles mapeada a los estandares que importan a los clientes que atendemos, y ofrecemos el soporte de ingenieria para preparar tu entorno ante la auditoria que decidas correr.
Marco honesto
Un informe de auditoria pertenece a la entidad auditada, no a la consultora.
Cuando Wolyra trabaja dentro del entorno de un cliente, el informe SOC 2 resultante, la validacion HITRUST o la evaluacion de riesgo HIPAA pertenece al cliente. Ayudamos a construir los controles, la cadena de evidencia y la narrativa de listo-para-auditar. No presentamos la certificacion de un cliente como propia, y no reclamamos certificaciones que Wolyra no ha obtenido.
Controles a los que disenamos
Los estandares en nuestra libreria de controles.
Regla de Seguridad de HIPAA
Salvaguardas administrativas, fisicas y tecnicas bajo 45 CFR Parte 164 Subparte C. Analisis de riesgo, capacitacion del personal, gestion de accesos, controles de auditoria, cifrado y procedimientos de notificacion de brechas, disenados para apoyar a una entidad cubierta o asociado de negocios.
HITRUST CSF
Controles del Common Security Framework mapeados a HIPAA, NIST, ISO 27001 y PCI DSS. Trabajamos a los niveles de evaluacion e1, i1 y r2 adecuados a la postura de riesgo del cliente y al alcance de la auditoria.
SOC 2 Tipo II
Trust Services Criteria para seguridad, disponibilidad, confidencialidad, integridad de procesamiento y privacidad. Construimos responsables de control, automatizacion de evidencia y registros de efectividad operativa que una firma CPA independiente puede atestar sobre una ventana de observacion.
GDPR y UK GDPR
Diseno de base legal, evaluaciones de impacto, registros de actividades de tratamiento, contratos Articulo 28 responsable/encargado, medidas de seguridad Articulo 32 y la maquinaria de transferencias internacionales (SCC, Addenda del Reino Unido).
CCPA y privacidad estatal de EE. UU.
Ley de Privacidad del Consumidor de California modificada por CPRA, mas los regimenes integrales en CO, CT, TX, VA y los estados adicionales con leyes activas. Toma de derechos del consumidor, verificacion de identidad, manejo de senales de opt-out y registro de data brokers cuando aplica.
PCI DSS
Solo para rutas de manejo de pagos. Minimizacion de alcance mediante tokenizacion o campos de pago alojados, segmentacion del entorno de datos del tarjetahabiente y la ruta de evidencia SAQ-A o SAQ-D apropiada al patron de integracion.
Soporte a auditorias
Como preparamos el entorno del cliente para la auditoria.
Un proyecto de listo-para-auditar no es la auditoria misma. No actuamos como auditor y no prometemos un resultado que sera emitido por una firma independiente. El proyecto construye la maquinaria de evidencia, el paquete de politicas y la disciplina operativa que un auditor espera ver en los walkthroughs.
Evaluacion de brechas
Una evaluacion escrita del conjunto actual de controles frente al estandar objetivo. Cada brecha se describe, se puntua por riesgo y se enlaza a un plan de remediacion con responsable y fecha de cierre.
Paquete de politicas
La politica de seguridad de la informacion, politica de uso aceptable, plan de respuesta a incidentes, procedimiento de gestion de accesos, gestion de riesgo de proveedores y el resto del conjunto que el auditor muestreara.
Automatizacion de evidencia
Logs, revisiones de acceso, escaneos de vulnerabilidades, tickets de cambio, registros de capacitacion y agendas de guardia recogidas de forma automatica en un vault de evidencia que la firma puede muestrear sin solicitudes ad hoc.
Ensayo de walkthrough
Un ensayo cronometrado de las preguntas probables del auditor, hecho con los responsables de control. El objetivo es sacar la ambiguedad a la luz antes de la auditoria, no despues.
Artefactos contractuales
Documentos que tu asesor querra ver.
Acuerdo de Procesamiento de Datos
Una plantilla de DPA conforme al Articulo 28 que cubre el alcance del tratamiento, medidas de seguridad (Anexo II), traspaso a subprocesadores, notificacion de brechas y manejo de datos tras la terminacion. Disponible bajo solicitud via el Centro Legal.
Divulgacion de subprocesadores
Una lista vigente de subprocesadores, su region y los datos que tocan. Notificacion de altas o reemplazos con al menos 30 dias de anticipacion y derecho razonable de objecion para el cliente.
Business Associate Agreement
Para proyectos que involucran informacion de salud protegida, Wolyra firma un BAA bajo HIPAA. El BAA describe los usos permisibles, las salvaguardas, los plazos de notificacion de brechas y el manejo de PHI tras la terminacion.
Cuestionario de seguridad
Se entrega a los equipos de compras durante la evaluacion una respuesta CAIQ / SIG Lite completada y un resumen de seguridad redactado por Wolyra. Los cuestionarios a medida se devuelven en cinco dias habiles.
Necesitas una conversacion sobre cumplimiento?
Cuentanos el estandar objetivo, la firma de auditoria si esta elegida y el plazo en que trabajas. Devolvemos un alcance escrito y una propuesta de evaluacion de brechas en un dia habil.