Calidad, Seguridad, Privacidad y Cumplimiento

El propósito de EcoVadis es «orientar a todas las empresas hacia un mundo sostenible», y sus cuatro objetivos principales son:

1. Proporcionar calificaciones de sostenibilidad independientes, fiables y accionables mediante la excelencia metodológica.
2. Permitir que el mayor número de empresas mejore continuamente sus prácticas empresariales y contribuya a crear una economía regenerativa y equitativa.
3. Cultivar un entorno de aprendizaje inclusivo para nuestra gente, proporcionando un trabajo significativo y capacitando a las futuras generaciones de profesionales de la sostenibilidad.
4. Fomentar la acción colectiva dentro de nuestro ecosistema para acelerar la transición hacia un mundo sostenible.

EcoVadis ha desarrollado un sistema de gestión de la calidad (SGC) que cuenta con la certificación ISO 9001. Perseguimos activamente la mejora constante de la calidad a través de un sistema de gestión de procesos que permite a cada empleado hacer bien su trabajo a la primera y en todo momento en un entorno laboral seguro y estimulante. Está respaldado por nuestra plataforma informática hecha a medida y desarrollada por nosotros mismos, que guía a los empleados a lo largo de todo el proceso. Nos esforzamos constantemente en mejorar los procesos mediante el asesoramiento de organismos especializados como nuestro comité de metodología.

• Programa de formación de los empleados
  • Programas de formación sobre calidad y seguridad de la información para todas las nuevas incorporaciones durante el periodo de incorporación, con cuestionarios y puntuaciones fijas para verificar su eficacia, además de una formación anual obligatoria de actualización para todos los empleados, seguida de cuestionarios.
• Acciones correctivas y preventivas
  • Mejora continua con la identificación de áreas de mejora para eliminar las no conformidades o evitar que se repitan. Un ejemplo de ello es el uso de la herramienta de calidad para la detección de incumplimientos y el feedback que se proporciona a través del proceso de evaluación.
• Proceso de gestión de incidentes
  • Las reclamaciones de clientes y proveedores, así como los problemas internos, se notifican, registran y gestionan a través de una plataforma de gestión de incidentes. Todas las incidencias son revisadas periódicamente por las partes interesadas y resueltas en un plazo determinado.
• Auditoría interna
  • El Programa de Auditoría Interna se establece en un periodo de 3 años en el que las auditorías de Seguridad de la Información se realizan dos veces al año y todos los procesos internos se someten a una auditoría de Calidad al menos una vez al año. Los resultados de las auditorías se revisan y debaten durante nuestras reuniones de revisión de gestión.

EcoVadis ofrece un servicio integral de calificación de la sostenibilidad de las empresas, a través de una plataforma SaaS global basada en la nube y alojada en Microsoft Azure, uno de los proveedores de alojamiento en la nube más fiables.

Nos comprometemos a ofrecer el más alto nivel de seguridad de la información y a mejorar continuamente para proteger los datos de todas las partes interesadas en un panorama cambiante de amenazas a la seguridad de la información. Por este motivo, EcoVadis ha establecido un sistema de gestión de la seguridad de la información que se somete periódicamente a auditorías independientes para garantizar el cumplimiento de la norma ISO/IEC 27001 (consulte el certificado y la declaración de aplicabilidad).

Nuestro sistema de gestión de la seguridad de la información nos permite operar y mantener sistemáticamente la seguridad de la información en nuestros procesos y servicios empresariales, y determinar y aplicar las medidas de seguridad necesarias en función de nuestra evaluación de riesgos.

Nuestras políticas de seguridad de la información se revisan y actualizan periódicamente para confirmar que su contenido siga siendo oportuno y preciso, así como en sintonía con los requisitos de cumplimiento de las buenas prácticas sectoriales que nos son aplicables.

Contamos con un equipo interno especializado responsable del desarrollo, el mantenimiento y la supervisión de la seguridad de la información. Las prioridades se establecen a escala mundial en el seno de nuestra organización para proporcionar una visión única y coherente en torno a la protección de nuestros activos.

En EcoVadis, somos conscientes de que la concienciación sobre las amenazas a la seguridad de la información debe inscribirse en un proceso continuo. Nuestros empleados reciben formación periódica sobre las buenas prácticas de seguridad informática y seguridad de la información, así como sobre el cumplimiento de las normas de seguridad informática de EcoVadis y la forma de utilizar los sistemas informáticos de forma segura.

Mantenemos un inventario preciso y actualizado de los activos asociados con el servicio prestado y clasificamos la información en términos de requisitos legales, valor, criticidad y sensibilidad a la divulgación o modificación no autorizada.

Azure es un servicio multiarrendatario, lo que implica que existe una separación lógica que aísla los datos de los distintos clientes.

Los derechos y privilegios de acceso a los sistemas de información y dominios de red de EcoVadis deben asignarse en función de los requisitos específicos de la función laboral de un usuario, para lo cual seguimos los principios de necesidad de conocer y mínimo privilegio.

Nuestros clientes gestionan su acceso de forma independiente: el administrador de la plataforma del cliente puede crear y desactivar usuarios según sea necesario. Se puede acceder a la plataforma mediante nombre de usuario y contraseña. También proporcionamos una capacidad de autenticación de inicio de sesión único (SSO) para las empresas que lo soliciten; puede ponerse en contacto con su interlocutor comercial habitual para obtener más información a este respecto.

Los datos (estáticos y dinámicos) se cifran utilizando algoritmos y métodos de cifrado avalados sectorialmente. Seguimos las buenas prácticas sectoriales para mantener y gestionar de forma segura la información confidencial en el seno de nuestro entorno.

Nuestras plataformas están alojadas en centros de datos de Microsoft Azure ubicados en la UE. Según un modelo de responsabilidad compartida en la nube, los controles de seguridad física son obligación de Microsoft. Puede encontrar más información sobre dichos controles aquí.

Nos aseguramos de que se controlan los cambios en la organización, los procesos empresariales, las instalaciones de procesamiento de la información y los sistemas que afectan a la seguridad de la información. Hemos implantado tecnología y procesos de supervisión y detección para identificar, prevenir y gestionar vulnerabilidades de malware u otros eventos pertinentes para la seguridad en el seno de nuestra infraestructura. Asimismo, seguimos buenas prácticas de incremento de la seguridad, como las del CIS (por las siglas en inglés de «Center for Internet Security») para los sistemas operativos y las guías de mejora de la seguridad de Microsoft Azure para los servicios en la nube.

El acceso de red a los servicios y servidores internos está restringido y protegido. Disponemos de un cortafuegos de aplicaciones web (consulte los detallesaquí) y utilizamos Azure Front Door, un moderno servicio de red de distribución de contenidos en la nube (CDN, por sus siglas en inglés) que ofrece un alto rendimiento, escalabilidad y experiencias de usuario seguras.

Utilizamos las normas sectoriales para incorporar seguridad a nuestro ciclo de vida de desarrollo de sistemas/software (SDLC, por sus siglas en inglés). Así, se garantiza que los nuevos desarrollos se sometan a las pruebas y procesos de validación adecuados antes de su puesta en marcha. Los entornos de desarrollo, pruebas y operativos están separados.

Hemos establecido requisitos de seguridad de la información para los proveedores que pueden acceder, procesar, almacenar, comunicar o proporcionar componentes de infraestructura informática para la información de la organización. También llevamos a cabo evaluaciones del riesgo de ciberseguridad y seguridad de los datos de los proveedores con acceso a nuestra red, datos u otra información sensible.

Trabajamos continuamente para ofrecer servicios altamente seguros a nuestros clientes, pero los incidentes son una realidad inevitable que hay que gestionar exhaustivamente. En EcoVadis, se aplican las medidas adecuadas para garantizar un enfoque coherente y eficaz de la gestión de los incidentes de seguridad de la información. Nuestro proceso de gestión de incidentes de seguridad abarca, entre otros: la notificación al cliente, el mantenimiento de procedimientos escritos sobre los pasos que han de seguirse en caso de incidente de seguridad y la realización de todos los esfuerzos razonables para mitigar sus consecuencias.

Además, contamos con un Centro de operaciones de seguridad (SOC) ininterrumpido, lo que garantiza la supervisión y protección continuas de nuestros sistemas y datos.

Nos comprometemos a garantizar una implantación de las instalaciones de procesamiento de la información con la redundancia suficiente para cumplir los requisitos de disponibilidad (consulte el informe de tiempo de actividad de nuestra plataforma, donde se supervisa constantemente el rendimiento del servicio, la disponibilidad y la experiencia real del usuario).

Las copias de seguridad se realizan y comprueban periódicamente de acuerdo con la política de copias de seguridad definida.

Para abarcar una visión más completa del cumplimiento de la seguridad de la información, realizamos varios tipos de auditorías y revisiones técnicas:

- Revisiones de la infraestructura

- Revisiones de código (SAST: pruebas estáticas de seguridad de aplicaciones, SCA: análisis de la composición del software)

- Pruebas de penetración en aplicaciones web (llevadas a cabo por una empresa externa al menos una vez al año y también por recursos internos de forma periódica)

- Gestión de la superficie externa

- Evaluaciones internas de riesgos

- Auditorías de la certificación ISO 27001

Hemos rellenado varios cuestionarios estándar, cuyos resultados pueden facilitarse previa petición

• Cybervadis
• CyberGRX
• SecurityScorecard:

• Whistic

Las certificaciones de Microsoft Azure están disponibles en el Portal de confianza del servicio.

Bibliotecas o componentes de código abierto relacionados con cualquiera de los servicios aplicables. En ocasiones, la solución EcoVadis incluye bibliotecas de código abierto o depende de ellas. Para cumplir con los requisitos de licencia de las bibliotecas de código abierto y el derecho moral de atribución del licenciatario, a continuación se muestra una lista de software de código abierto utilizado para construir nuestros productos; tenga en cuenta que toda la información aquí se proporciona tal cual y podría estar sujeta a cambios por parte del licenciatario:

* La aplicación está vinculada dinámicamente a la licencia LGPL, por lo que el código sujeto a propiedad intelectual puede mantenerse como tal.

EcoVadis diseña, implanta y despliega soluciones de IA de forma responsable, prestando especial atención a la explicabilidad de los modelos, su supervisión y los principios fundamentales de una IA fiable. Con el auge de la IA generativa, invertimos en la seguridad y la gobernanza de la IA y nos aseguramos de que las soluciones de IA generativa cuenten con salvaguardias adecuadas.

EcoVadis cree que el RGPD es un paso importante para reforzar y armonizar la protección de los datos personales de los ciudadanos de la UE. Como responsable del tratamiento de los datos de los servicios de evaluación prestados, EcoVadis se compromete a cumplir el Reglamento General de Protección de Datos de la UE y, en la medida en que sea aplicable, la normativa internacional de protección de datos, así como a aplicar las buenas prácticas correspondientes.

EcoVadis utiliza la norma ISO 27001, para la que estamos certificados, como marco de referencia e integra aspectos de protección de datos personales en su sistema de gestión. Utilizamos el marco complementario ISO 27701 para cumplir los requisitos del Reglamento General de Protección de Datos de la UE. Nuestras prácticas de protección de datos y su cumplimiento se confirman mediante una auditoría de terceros.

Para el tratamiento de datos realizado fuera de la UE, hemos establecido cláusulas contractuales tipo con nuestras filiales.

Siempre seleccionamos cuidadosamente a nuestros proveedores (procesadores) y exigimos la celebración de Acuerdos de Protección de Datos con los procesadores y Cláusulas Contractuales Tipo (CCT) o Normas Corporativas Vinculantes (RCC) en caso de procesamiento fuera de la región del EEE para poder trabajar para nosotros. Siempre procuramos elegir suscripciones con proveedores para que los datos se alojen en servidores con sede en Europa. Utilizamos los siguientes procesadores para prestar nuestro servicio:

Nos basamos en las recomendaciones sobre medidas adicionales emitidas por la autoridad francesa de protección de datos (CNIL, por sus siglas en francés) y el Consejo Europeo de Protección de Datos en relación con las posibilidades de transferir datos a Estados Unidos a partir de las CCT (o RCC).

Más información en nuestro Aviso de protección de datos

EcoVadis se compromete a cumplir todas las leyes y reglamentos aplicables a un operador de servicios en línea de uso general, lo que incluye, entre otras, la legislación de Francia y de Estados Unidos, en lo que respecta a sus propios lugares de explotación de los servicios.

Restricciones de destino

Teniendo en cuenta los riesgos comerciales generales, los productos y servicios de Ecovadis no están disponibles para su exportación, reexportación, transferencia y/o uso en los siguientes países/regiones (sujetos a cambios sin previo aviso):

• las regiones de Crimea, Donetsk y Luhansk
• Cuba
• Irán
• Corea del Norte
• Siria

Además, las transacciones con ciertos destinos o relacionadas con ellos que plantean un elevado riesgo de control de las exportaciones o de sanciones están sujetas a requisitos de diligencia debida reforzados.

Restricciones para el usuario final

Los productos y servicios de EcoVadis no están disponibles para las entidades y personas con las que se prohíben las transacciones en virtud de las leyes de control de las exportaciones y las sanciones aplicables, incluidas las que figuran en cualquier lista de partes sancionadas aplicable (por ejemplo, la lista de sanciones de la Unión Europea, las listas de nacionales especialmente designados [SDN] de los Estados Unidos, la OFAC, las sanciones del Consejo de Seguridad de las Naciones Unidas, las listas locales en las que EcoVadis tiene su presencia).

Restricciones de uso final

Los Servicios de EcoVadis no deben utilizarse para ningún propósito prohibido por las Leyes de Exportación aplicables, incluyendo, sin limitación, el desarrollo, diseño, fabricación o producción de armas nucleares, químicas o biológicas de destrucción masiva.

En EcoVadis, creemos que la ética y la integridad marcan la diferencia en la continuidad, la reputación y el éxito de las empresas. Así, hemos adoptado un Código de Ética y otras políticas y procedimientos. Nos atenemos a las normas más estrictas, de acuerdo con los mismos criterios que evaluamos en nuestro proceso de calificación y garantizamos nuestro cumplimiento de la legislación y la normativa aplicables.

Código de ética de EcoVadis

Nuestra empresa se fundó con la convicción de que las empresas pueden tener un enorme impacto positivo en la mejora de las prácticas medioambientales y sociales a escala mundial a través de sus cadenas de suministro. Estamos convencidos de que las empresas se evalúan y recompensan no solo por sus resultados financieros, sino también por su sostenibilidad. El Código de Ética de EcoVadis es un conjunto de principios rectores que nos ayudan a tomar decisiones de forma justa y honesta. Presenta la conducta profesional que debemos promover y seguir en el desempeño de nuestras funciones en nuestro entorno laboral.

Lee nuestro Código de ética

Código de conducta de los proveedores de EcoVadis

El Código de conducta de los proveedores de EcoVadis resume nuestro compromiso con unas prácticas empresariales éticas, sostenibles y responsables en toda nuestra cadena de suministro. Establece expectativas claras para nuestros proveedores, y se centra en áreas clave como las prácticas laborales y derechos humanos, la protección del medio ambiente, la integridad empresarial y las compras sostenibles. Respetando estos principios, los proveedores desempeñan un papel vital en el fomento de la transparencia y la responsabilidad, al tiempo que contribuyen a un futuro más sostenible. Este código refleja la dedicación de EcoVadis para impulsar un impacto positivo a través de asociaciones colaborativas y éticas.

Lea nuestro Código de conducta de los proveedores

Declaración de EcoVadis sobre la esclavitud moderna

La Declaración expone las medidas que hemos adoptado, y seguimos adoptando, para garantizar que la esclavitud moderna y la trata de seres humanos no estén presentes en nuestra organización ni en nuestras operaciones empresariales, lo que incluye también nuestras cadenas de suministro.

Lea nuestra Declaración de 2021

Lea nuestra Declaración de 2022

Lea nuestra Declaración de 2023

Desde EcoVadis, nos gustaría agradecer a las siguientes personas su valiosa contribución a la mejora de la seguridad del sistema EcoVadis.