Declaración de medidas técnicas y organizativas

Consulta las versiones previas de esta y otras políticas en nuestros archivos de políticas(se abre en una ventana nueva).

La presente Declaración de medidas técnicas y organizativas se incorpora por referencia a nuestra Adenda sobre tratamiento de datos. En ella se describen los estándares mínimos de seguridad que Canva aplica a los Servicios de Canva según lo estipulado en el Acuerdo de servicio de suscripción(se abre en una ventana nueva). Los términos que aparecen en mayúscula, pero no están definidos en esta Declaración de medidas técnicas y organizativas, tienen los significados indicados en la Adenda sobre tratamiento de datos(se abre en una ventana nueva), como es el caso de “Datos”, que, para evitar confusiones, en el presente documento, se refiere solo a los datos de clientes empresariales salvo que tu acuerdo con Canva especifique lo contrario.

1. Medidas para la seudonimización y el cifrado de datos personales

Canva cifra los Datos que se transmiten entre los clientes y la app de Canva a través de redes públicas que usan TLS 1.2 o un protocolo posterior. Los Datos de Clientes almacenados en los servidores de Canva se cifran usando AES 256 o métodos más robustos.


2. Medidas para asegurar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas y servicios de tratamiento

Canva dispone de personal encargado de supervisar las cuestiones relativas a la seguridad y la privacidad. Canva ha designado responsables de seguridad, privacidad y datos, así como un Comité de Seguridad de la Información que se reúne cada trimestre para tratar los riesgos de seguridad y privacidad gestionados en sus registros de riesgos.


3. Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a datos personales de forma oportuna en caso de que se produzca un problema físico o técnico

Para garantizar la disponibilidad del servicio, Canva utiliza el escalado automático de Amazon Web Services (AWS), las zonas de disponibilidad de AWS, un control exhaustivo de la app y la infraestructura, y personal rotativo de soporte para la aplicación disponible las 24 horas, todos los días (24/7).

Canva conserva copias de seguridad de los datos almacenados, incluidos los Datos de Clientes, que se usan para mantener las funciones principales de la aplicación de Canva. Las copias de seguridad se almacenan en una ubicación geográfica alejada de la ubicación principal de almacenamiento de datos.

Canva mantiene una capacidad de respuesta ante incidentes de seguridad que incluye un Plan de respuesta ante incidentes de datos personales para incidentes de seguridad relacionados con Datos. Dicho plan define cómo controlamos los incidentes, cómo actuamos frente a ellos, cómo los evaluamos y cómo los informamos, así como los roles y las responsabilidades del personal de Canva. Asimismo, el plan establece la realización de revisiones posteriores al incidente.


4. Procesos para probar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento de datos

Canva encarga a una entidad externa especializada en pruebas de seguridad la realización de una prueba anual de penetración en su aplicación y en su infraestructura. Canva también emplea un servicio externo de análisis de vulnerabilidades en aplicaciones y tiene en marcha un programa público de recompensas por la detección de errores.


5. Medidas para identificar y autorizar a personas usuarias

Si la cuenta de un Cliente incluye una contraseña para autenticarse, Canva almacena dicha contraseña cifrada con los métodos salt y hash usando una función estándar de cifrado de contraseñas mediante hash. Canva admite la integración del inicio de sesión único (SSO) con proveedores de identidad de clientes que usan el lenguaje de marcado para confirmaciones de seguridad (SAML).


6. Medidas para proteger los datos durante su transmisión

Tal como se describe en el apartado 1, Canva cifra los Datos que se transmiten a través de redes públicas entre los clientes y la app de Canva mediante TLS 1.2 o un protocolo posterior.


7. Medidas para proteger los datos durante su almacenamiento

Tal como se describe en el apartado 1, los Datos de Clientes almacenados en los servidores de Canva se cifran con AES 256 o métodos más robustos.


8. Medidas para garantizar la seguridad física de las ubicaciones en las que se tratan datos personales

Se utilizan centros de datos facilitados por Amazon Web Services (AWS) para alojar el servicio y almacenar los Datos. Por lo tanto, Canva depende de los controles físicos, medioambientales y relativos a la infraestructura que realiza AWS. De forma periódica, Canva revisa los certificados y las declaraciones externas que facilita AWS en relación con la eficacia de los controles que realiza en sus centros de datos.


9. Medidas para garantizar el registro de incidentes

Canva mantiene registros de auditoría sobre la seguridad de la infraestructura y de la aplicación. Estos registros se analizan para detectar anomalías en la actividad.


10. Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada

Canva protege la infraestructura de sus servidores usando un estándar de protección basado en un estándar de la industria. Canva aplica parches de seguridad a sus servidores conforme a lo estipulado en su Procedimiento de gestión de vulnerabilidades.


11. Medidas para la gestión y la gobernanza de la TI interna y de la seguridad informática

El nivel de acceso que tiene el personal de Canva a los Datos de Clientes depende de su rol y tiene como base el menor privilegio posible. El personal solo tiene acceso a los Datos de Clientes que necesita para desempeñar sus funciones con eficacia. El acceso remoto a sistemas de Canva requiere una comunicación cifrada mediante protocolos protegidos y el uso de una autenticación multifactor. Canva ha establecido y mantendrá procedimientos para gestionar las contraseñas de su personal, todos ellos diseñados para asegurar que cada persona tenga su propia contraseña y que las personas no autorizadas no pueden acceder a ellas. Entre estos procedimientos se incluyen, como mínimo, los siguientes:

- Protección de las contraseñas con cifrado criptográfico cuando estén almacenadas en sistemas informáticos o en tránsito por la red

- Modificación de contraseñas predeterminadas de proveedores

- Formación sobre buenas prácticas con contraseñas

Para acceder a la infraestructura de producción, el personal debe usar obligatoriamente la autenticación multifactor (MFA).

El personal de Canva está sujeto a obligaciones de confidencialidad y a una Política de gestión de datos personales. Canva exige a su personal que asista a formaciones para generar conciencia sobre la seguridad de la información, no solo al momento de asumir sus funciones, sino también más adelante de forma anual. Canva también exige que su personal asista anualmente a formaciones sobre las leyes de privacidad (incluido el cumplimiento de las leyes COPPA y FERPA en lo relativo a los datos de estudiantes).

Canva ha contemplado la privacidad desde el desarrollo mismo de la aplicación, lo que incluye, entre otros factores, la realización de evaluaciones del impacto sobre la privacidad.


12. Medidas para garantizar o verificar procesos y productos

Canva mantendrá una certificación ISO-27001, por lo que se someterá a auditorías periódicas externas para vigilar y revisar dicha certificación con el fin de asegurarse de que su Sistema de gestión de la seguridad de la información (ISMS) cumple los requisitos exigidos para este estándar.

Canva mantendrá una política de seguridad de la información que cumpla los requisitos del estándar ISO-27001, un programa de auditoría interna que evalúe los controles de seguridad de la información y el sistema de gestión de la seguridad de la información (ISMS) de Canva, y un comité de gestión que se responsabilice de supervisar este sistema.


13. Medidas para garantizar la minimización de datos

Canva permite que sus visitantes usen determinadas funciones de su plataforma de forma anónima y reduce al mínimo necesario la cantidad de Datos que solicita a sus Clientes para brindar el servicio solicitado.


14. Medidas para garantizar la calidad de los datos

Canva garantiza la calidad de sus datos mediante la verificación de los correos que se registran en la plataforma canva.com. Canva también permite que sus personas usuarias actualicen la información de sus cuentas directamente o mediante una solicitud al Equipo de Satisfacción del Cliente.


15. Medidas para garantizar la retención limitada de datos

La Política de retención de datos de Canva establece periodos de retención para distintos tipos de datos según los requisitos legales, los intereses justificados de Canva y los fines de la recopilación.


16. Medidas para asegurar el cumplimiento de las responsabilidades

Canva tiene designados representantes locales en Europa y en Reino Unido. El representante local de Canva en el Espacio Económico Europeo es la Oficina Europea de Protección de Datos (EDPO, por sus siglas en inglés), con domicilio social en Avenue Huart Hamoir 71, 1030 Bruselas, Bélgica. Nuestro representante local en el Reino Unido es la Oficina Europea de Protección de Datos del Reino Unido (EDPO UK), con domicilio social en 8 Northumberland Avenue, Londres WC2N 5BY, Reino Unido. Se llevan a cabo evaluaciones del impacto sobre la protección de datos para actividades de tratamiento de alto riesgo. Canva lleva un registro de las actividades de tratamiento de datos que realiza.


17. Medidas para permitir la portabilidad de datos y garantizar su borrado

Canva cuenta con un proceso automatizado que permite eliminar los Datos de Clientes, previa solicitud, en un plazo de 28 días. Dicho proceso también permite descargar los Datos de Clientes para proporcionárselos a otros proveedores de servicios.


Otras políticas