Política de gestión de datos

Objetivo

Definir la forma en la que se almacenan los distintos datos así como la forma de acceder a ellos durante la fase de producción del proyecto.

  • 1: Almacenamiento de datos en general

    • 1.1: Tener conocimiento acerca de la Ley Federal de Datos Personales en Posesión de Particulares. Para saber más puede ver la siguiente presentación.
    • 1.2: Familiarizarse con el organigrama de Impulse donde se detalla cuáles son los roles existentes y quien los desempeña.
    • 1.3: Redactar un acuerdo de confidencialidad que será firmado por todos los miembros del equipo para participar en el proyecto.
    • 1.4: El cliente asignará a una persona o departamento que será el encargado de resolver las peticiones que los clientes puedan llegar a tener.
    • 1.5: El cliente buscará asesoría legal para crear un Aviso de Privacidad donde se detalle:
      • 1.5.1: Quién recopilar los datos
      • 1.5.2: Qué datos recopilar (sensibles o no)
      • 1.5.3: Con qué finalidad los recopilar
      • 1.5.4: Cómo limitar su uso o divulgación
      • 1.5.5: Cómo revocar su uso
      • 1.5.6: Cuál es el procedimiento que tiene el titular para ejercer sus derechos de acceso, rectificación, corrección y oposición (conocidos como Derechos ARCO)
      • 1.5.7: La forma en la que se comunican los cambios al Aviso de Privacidad la aceptación o negativa para autorizar la transferencia de datos a terceros.
    • 1.6: De ser necesario, el cliente también creará un Aviso de Términos de Uso con asesoría legal.
    • 1.7: En caso de que se almacenen datos de menores de edad, se seguirá el arículo 6° de la Ley General de Protección de Datos Personales en Posesión de Autoridades, Órganos y Organismos de Gobierno.

  • 2: API Keys

    En caso de que se manejen llaves para utilizar la API de algún servicio, se seguirán los siguientes puntos para asegurar su integridad:

    • 2.1: Evitar que las API Keys aparezcan de cualquier manera en el repositorio de GitHub.
    • 2.2: Evitar que las API Keys se implementen directamente en el código.
    • 2.3: Guardar las API Keys en archivos de texto dentro de la carpeta llamada "API Keys" de su respectivo proyecto dentro de la unidad compartida del departamento llamada "Impulse credenciales". Unicamente los miembros del proyecto tienen acceso a esta carpeta.
    • 2.4: Si se necesita utilizar la API Key durante la implementación de una User Story, descargar el archivo correspondiente a la API que se desea utilizar. Para obtener la llave se lee el archivo txt y se almacena el valor en una variable local para ser utilizada. Este archivo txt debe ser incluido en el archivo .gitignore del proyecto para evitar que se suba al repositorio.

  • 3: Acceso a la base de datos.

    Existen distintos puntos a considerar dependiendo de la instancia en que se quiera acceder a la base de datos:

      Base de datos local:

      • 3.1: Utilizar contraseñas fáciles de recordar que agilicen el proceso de desarrollo.
      • 3.2: En caso de crear distintos roles, almacenar las contraseñas para acceder al sistema en una carpeta en Drive con el nombre de “Credenciales locales” localizada en la carpeta correspondiente al nombre del proyecto dentro de la unidad compartida "Impulse credenciales". Sólo los miembros del proyecto deben tener acceso a dicha carpeta.
      • 3.3: Todos los miembros del equipo deben utilizar estas contraseñas provisionales durante el desarrollo del proyecto.

      Base de datos en producción:

      • 3.4: Cambiar todas las contraseñas que se utilizaron durante la fase de producción por unas que cumplan con los siguientes parámetros de seguridad:
        • Tener al menos 8 caracteres.
        • Tener letras mayúsculas y minúsculas, cifras y caracteres especiales.
        • No usar información personal, como nombres o fechas de nacimiento.
        • No usar palabras o frases simples, como "password", "qwerty" o "123456"
      • 3.5: Almacenar dichas contraseñas dentro de una carpeta en drive llamada “Credenciales de producción” localizada en la carpeta correspondiente al nombre del proyecto dentro de la unidad compartida "Impulse credenciales". Sólo los miembros del proyecto deben tener acceso a dicha carpeta.
      • 3.6: Encriptar las contraseñas de los usuarios que utilizan el sistema en caso de que el framework en el que se desarrolla no lo haga de manera automática.

  • 4: Credenciales del servidor

    En el caso de las credenciales para acceder al servidor en producción:

    • 4.1: Guardar las credenciales de acceso al servidor, tanto de producción como de prueba, en la carpeta del proyecto “Credenciales de producción” dentro de la carpeta con el nombre del proyecto localizada en la unidad compartida "Impulse credenciales". Sólo los miembros del equipo tienen acceso a dicha carpeta.

  • 5: Manipulación y acceso a la información

    Si el sistema manipula información confidencial del cliente, se seguirán estos pasos para asegurar su protección:

    • 5.1: Todos los archivos que contengan información confidencial del cliente (archivos .word, .xslx, .png, .txt, etc…) serán almacenados en una carpeta con el nombre del cliente dentro de la carpeta con el nombre del proyecto en la unidad compartida "Impulse credenciales".
    • 5.2: Cualquier solicitud de modificar o borrar la información confidencial del cliente se comunicará a uno de los Product Owners.
    • 5.3: Los miembros del equipo eliminarán todos los archivos almacenados de manera local que contengan información confidencial del cliente al término del desarrollo del proyecto.

  • Uso de datos del departamento Impulse

    Dentro del departamento Impulse se recolectan datos que ayudan a medir el desempeño del mismo. Todos los datos de Impulse están disponibles para su uso académico.