Tu confianza es nuestro principal activo

TravelPerk cumple las leyes de protección de datos aplicables, como el RGPD de la UE, el RGPD del Reino Unido y la CCPA de California. Hemos implementado medidas técnicas y organizativas apropiadas para proteger los datos personales que se comparten con nosotros. Esto incluye garantizar que los datos, tanto en reposo como en tránsito, estén encriptados dentro de la plataforma y en los puntos finales. Para garantizar el cumplimiento de la normativa de protección de datos, TravelPerk imparte formación específica a su personal y cuenta con políticas centralizadas al respecto. Antes de acceder a los datos personales, todas las personas y empresas con las que trabajamos se someten a una especie de auditoría de due diligence y están sujetas a obligaciones de confidencialidad. Hemos firmado acuerdos de tratamiento de datos con todos nuestros subencargados del tratamiento, conforme a las últimas cláusulas contractuales tipo para transferencias internacionales de datos aprobadas por la Comisión Europea el 4 de junio de 2021.

Nuestro sistema de gestión de la seguridad de la información (SGSI) se ajusta a las directrices ISO 27001 en materia de controles técnicos y operativos para la seguridad de los datos confidenciales y personales. Además, nuestra plataforma está alojada en Amazon Web Services (AWS) en centros de datos ubicados dentro de la UE, con protocolos de seguridad pioneros en el sector.

Hemos implementado una serie de controles para garantizar el cumplimiento del RGPD. Para proteger la privacidad desde el diseño y por defecto, nos centramos en el ciclo de vida de los datos de los clientes. Aplicamos medidas de seguridad técnicas, organizativas y físicas desde el momento en que se nos confían los datos personales hasta que se destruyen de forma segura. Estos controles abarcan desde la detección y respuesta avanzadas de puntos finales (EDR) hasta la seguridad y monitorización en la nube. Nuestras oficinas también están protegidas con diversas medidas de seguridad, entre ellas guardias de seguridad las 24/7 y un circuito CCTV. Para más información, consulta nuestro Libro blanco de la Seguridad y la hoja de Medidas de Seguridad (MTO).

Sí. Hoy en día, la encriptación de datos es una de las medidas de seguridad fundamentales para proteger los datos confidenciales. Utilizamos AES-256 para cifrar los datos en reposo, incluidas las copias de seguridad. Para los datos en tránsito, imponemos un mínimo de TLS v1.2 y no admitimos versiones anteriores.

Para el almacenamiento de contraseñas, seguimos las normas recomendadas por el NIST para la selección del algoritmo hash y el mecanismo de estiramiento de claves. Nuestro sistema de correo electrónico también se encripta automáticamente mediante S/MIME siempre que sea compatible.

Sí, tenemos implantadas varias políticas de seguridad, incluida una Política de Seguridad de la Información que forma parte de nuestro Sistema de Gestión de la Seguridad de la Información (SGSI). Estas políticas están en línea con las mejores prácticas reconocidas a nivel internacional en materia de seguridad informática y cibernética —como ISO27001, ISO27005 y OWASP— y proporcionan las pautas estratégicas necesarias para aplicar y actualizar constantemente nuestro SGSI.

Sí, disponemos de un programa interno de formación y sensibilización sobre mejores prácticas de protección de la privacidad y seguridad de datos. Pensamos que marcar una casilla conforme se ha recibido la formación anual obligatoria online no es suficiente. Creemos en la mejora constante de nuestras prácticas y comportamientos y, por ello, impartimos formación continua diseñada específicamente para nuestra empresa a todos nuestros empleados, nuevas incorporaciones y contratistas relevantes. También realizamos simulaciones de phishing, ejercicios tipo «Capture the Flag», pósters de sensibilización personalizados y mucho más. En TravelPerk también aplicamos un control de acceso basado en funciones, lo que significa que solo un número limitado de nuestros empleados tiene acceso a los datos de los clientes y que este acceso se limita a los datos estrictamente necesarios para desempeñar sus respectivas funciones.

La plataforma TravelPerk garantiza unos pagos seguros. Nos hemos asociado con Stripe para almacenar de forma segura los datos de tu tarjeta de crédito y procesar tus solicitudes de pago. TravelPerk nunca verá, almacenará ni tratará los datos de tu tarjeta de pago: estos datos los gestiona en todo momento Stripe. Nosotros utilizamos únicamente números de referencia únicos y anonimizados para conectar con Stripe y cobrar las reservas y los servicios. Stripe trata los datos de los clientes en calidad de responsable del tratamiento; consulta la Política de privacidad de Stripe para obtener más información sobre la protección de tus datos personales.

En TravelPerk estamos firmemente comprometidos con la mejora continua de la seguridad de nuestros sistemas, para lo cual reforzamos y actualizamos permanentemente las medidas de seguridad existentes. Aunque nos esforzamos por cumplir todas las obligaciones establecidas por las leyes de protección de datos, no podemos aceptar las políticas de seguridad individuales de los clientes. Como compañía SaaS global de gestión de viajes con una amplia cartera de clientes, debemos aplicar políticas de seguridad integrales y uniformes para garantizar la debida protección y la coherencia de nuestros procedimientos.

No obstante, estaremos encantados de responder a los cuestionarios de seguridad y auditoría que nos solicitéis a fin de acreditar que TravelPerk cumple con todas sus obligaciones en materia de protección de datos personales. Somos conscientes de la importancia de mantener el máximo nivel de seguridad para nuestros clientes y trabajamos con el firme propósito de cumplir estos estándares.

Nuestros subencargados del tratamiento tienen la obligación contractual de cumplir medidas técnicas y organizativas (MTO) para garantizar la seguridad de los datos equivalentes a las que ofrecemos a nuestros clientes. Pulsa aquí para consultar nuestras MTO actualizadas. 

Exigimos a los subencargados del tratamiento que proporcionen suficientes medidas técnicas y operativas para garantizar la seguridad de los datos, así como medidas que garanticen el cumplimiento de las leyes aplicables en materia de protección de datos. A fin de acreditar el cumplimiento de sus obligaciones en materia de protección de datos, todos los proveedores y subencargados del tratamiento que procesan y almacenan datos de clientes se someten a exhaustivas auditorías de seguridad y a evaluaciones de riesgos realizadas tanto por nuestro equipo de Seguridad de la Información como por nuestro equipo de Protección de la Privacidad. También realizamos un seguimiento continuo de las políticas de seguridad de nuestros proveedores.

Gestión de vulnerabilidades. Las pruebas periódicas de penetración no son suficientes para garantizar la seguridad en un entorno tan cambiante como el nuestro. Por tanto, llevamos nuestra gestión de vulnerabilidades mucho más allá. Realizamos escaneos diarios de vulnerabilidades dinámicas de nuestra aplicación web y escaneamos también a diario nuestra aplicación móvil con diferentes pruebas estáticas, dinámicas e interactivas. La información obtenida a partir de estos escaneos se combina con los resultados del programa de recompensas por errores y de las pruebas de penetración y se revisa a fondo para adoptar las medidas necesarias en función del nivel de gravedad.

Prevención de malware. Como cabría esperar de una empresa internacional como la nuestra, utilizamos tecnologías punta de detección y respuesta de puntos finales. La detección basada en el comportamiento nos ayuda a mantenernos protegidos de ataques de nueva generación no reconocibles por los sistemas basados en firmas. Nuestra capacidad de conexión rápida y eficaz nos permite responder rápidamente a incidentes de puntos finales en cualquier parte del mundo. También disponemos de diversas soluciones para garantizar que el software malicioso no entre en nuestros sistemas o aplicaciones de viaje.

Monitorización. Recopilamos registros de actividad y de accesos, así como información relevante de diversas fuentes. Cuando recibimos alertas u otros avisos, nuestro equipo inspecciona e investiga rápidamente el incidente sospechoso. En la medida de lo posible, configuramos nuestras herramientas para que detecten rápidamente actividades sospechosas y nos informen al respecto de inmediato. Esto incluye la monitorización y las alertas de nuestros propios sistemas y herramientas informáticas y de nuestras aplicaciones de viajes de negocios.

Nuestro equipo de Seguridad está capacitado para tomar la iniciativa ante cualquier incidente de seguridad que pueda producirse, reunir a las personas adecuadas y coordinar cualquier respuesta necesaria siguiendo nuestro Plan de Respuesta a Incidentes. No prejuzgamos de antemano asumiendo un nivel de gravedad a partir de lo que inicialmente podría ser información limitada. En lugar de ello, tratamos todos los incidentes con el mismo nivel de prioridad e importancia mientras no tengamos información que demuestre lo contrario.

Disponemos de un servicio técnico de guardia las 24/7 que garantiza que, si se produce un incidente fuera del horario laboral que afecta a la confidencialidad, integridad o disponibilidad de los datos, nuestros ingenieros puedan responder, escalar y resolver rápidamente cualquier problema con el apoyo de nuestro equipo de Seguridad. Aplicamos mejores prácticas y utilizamos un rastreador de incidentes que nos permite analizarlos posteriormente para extraer las conclusiones oportunas e introducir las mejoras correspondientes.

Sí, tenemos un Plan de Respuesta a Incidentes que ha sido aprobado por el Director de Tecnología (CTO). Este plan establece las funciones, responsabilidades, datos de contacto y pasos a seguir en caso de sospecha de incidente. También contamos con un Equipo de Gestión de Incidentes. 

Puedes encontrar más información en nuestra sección de Seguridad, en el Libro blanco de la seguridad y en la hoja de Medidas de Seguridad (MTO).

Sí, incluimos procedimientos de detección y notificación de violaciones de la seguridad de los datos personales en la formación sobre seguridad de datos para todo el personal de TravelPerk.

Como encargado del tratamiento, TravelPerk está obligada a notificar cualquier violación de la seguridad de los datos personales a los clientes afectados (los responsables del tratamiento) para que estos puedan notificarlo a la autoridad de control competente de conformidad con las leyes de protección de datos aplicables. En nuestras notificaciones a los clientes afectados proporcionamos toda la información disponible conforme al artículo 33.3 del RGPD.

Como encargado del tratamiento, TravelPerk está obligada a notificar cualquier violación de la seguridad de los datos personales a los clientes afectados (los responsables del tratamiento) para que estos puedan notificarlo a la autoridad de control competente de conformidad con las leyes de protección de datos aplicables. En nuestras notificaciones a los clientes afectados proporcionamos toda la información disponible conforme al artículo 33.3 del RGPD.

TravelPerk puede transferir datos a destinatarios situados en terceros países, es decir, a países fuera del EEE sin una decisión de adecuación por parte de la Comisión Europea. Por ejemplo, podemos transferir datos a subencargados del tratamiento que nos ayudan a prestar nuestros servicios (consulta nuestra Lista actualizada de subencargados del tratamiento) o a proveedores de viajes como compañías aéreas, hoteles u otros proveedores de transporte y alojamiento. 

Cuando estos subencargados del tratamiento se encuentran en terceros países, aplicamos principalmente las últimas cláusulas contractuales tipo para transferencias internacionales aprobadas por la Comisión Europea el 4 de junio de 2021. También realizamos una evaluación de la seguridad de todos nuestros proveedores y, cuando es necesario, aplicamos medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE (de acuerdo con las Recomendaciones 01/2020 del CEPD «post-Schrems II»). Puedes encontrar más información en nuestro Libro Blanco sobre transferencias internacionales de datos.

El proceso que seguimos cada vez que necesitamos compartir datos de clientes con un proveedor establecido en un país tercero consta de 7 pasos: 

1. Identificamos y mapeamos todas nuestras transferencias restringidas (es decir, cualquier transferencia de datos a países no adecuados).
2. Exigimos a los posibles proveedores que rellenen un cuestionario exhaustivo sobre privacidad, que después evalúan nuestros equipos de Seguridad de la Información y Protección de la Privacidad.
3. Suscribimos un Acuerdo de Tratamiento de Datos (ATD) con el proveedor en cuestión, que establece las mismas obligaciones de protección de datos, o equivalentes, que las establecidas en el ATD suscrito con nuestros clientes.
4. Aplicamos las cláusulas contractuales tipo para transferencias internacionales más recientes publicadas por la Comisión Europea el 4 de junio de 2021 a todos los proveedores que tratan datos personales en países terceros.
5. Estudiamos la legislación aplicable en el país donde el proveedor almacena los datos, con especial énfasis en los Estados Unidos.
6. Identificamos y adoptamos los procedimientos y las medidas complementarias necesarias para que el nivel de protección de los datos transferidos cumpla las normas de la UE.
7. Revisamos nuestras evaluaciones de riesgos periódicamente para asegurarnos de que las transferencias internacionales siguen siendo seguras a lo largo del tiempo.

Sí. La Comisión Europea insta a los responsables del tratamiento y a los encargados del tratamiento a proporcionar garantías adicionales para la transferencia de datos personales al extranjero mediante medidas contractuales complementarias que ofrezcan un nivel de protección equivalente en lo esencial a los estándares de la UE.

Teniendo esto en cuenta, TravelPerk realiza una evaluación exhaustiva de todos los encargados y subencargados del tratamiento ubicados en terceros países para determinar la eficacia de las cláusulas contractuales tipo en cada caso en concreto. Basándonos en los resultados de la evaluación, indicamos a dichos proveedores que incorporen las medidas contractuales adicionales oportunas al Acuerdo de Tratamiento de Datos correspondiente. Nos centramos tanto en las medidas de seguridad aplicadas por el proveedor como en las salvaguardias específicas para evitar o mitigar los riesgos de posibles solicitudes de divulgación de datos personales a autoridades públicas o policiales en el país del proveedor, especialmente en los Estados Unidos en virtud de leyes y reglamentos como la Sección 702 de la FISA, la Orden Ejecutiva 12333 o la Ley CLOUD.

Dependiendo del caso y basándonos en los resultados de nuestra evaluación, pedimos a nuestros proveedores que cumplan determinadas obligaciones contractuales adicionales si reciben tales solicitudes de divulgación. A modo de ejemplo, les pedimos que verifiquen si la solicitud de divulgación es lícita y adecuada en función de los datos solicitados y la jurisdicción competente y que, si procede, revisen y cuestionen la solicitud de acuerdo con los principios del RGPD y las obligaciones contractuales relacionadas con solicitudes de acceso a datos personales por parte de organismos gubernamentales conforme a los artículos 14 y 15 de las cláusulas contractuales tipo. También instruimos a nuestros proveedores para que proporcionen la mínima información posible ante una solicitud de divulgación, apliquen las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales —incluida la protección contra la destrucción accidental o ilícita y la pérdida, alteración o divulgación y acceso no autorizados a dichos datos— y se abstengan de crear puertas traseras o programaciones similares que puedan ser utilizadas por los cuerpos de seguridad o las autoridades públicas para acceder a los sistemas y/o a los datos personales.

Ningún tercero tiene acceso a los sistemas o equipos de gestión de clientes de TravelPerk. Sin embargo, TravelPerk puede compartir datos de clientes con proveedores terceros (subencargados del tratamiento y proveedores de viajes) para prestar sus servicios de viajes de negocios (por ejemplo, nombre de los viajeros y datos de contacto con una aerolínea u hotel para confirmar una reserva). Todos estos terceros se someten a evaluaciones de seguridad y han suscrito los ATD y/o cláusulas contractuales correspondientes para garantizar la seguridad y la confidencialidad de los datos personales transferidos.

Sí, aplicamos las cláusulas contractuales tipo para transferencias internacionales aprobadas por la Comisión Europea el 4 de junio de 2021 a todos los subencargados del tratamiento establecidos fuera del EEE en países no adecuados, por ejemplo, en Estados Unidos.

Actualmente trabajamos con subencargados del tratamiento radicados en la UE/EEE, Reino Unido, EE. UU., Filipinas, India, Japón, Australia, El Salvador e Israel. Pulsa aquí para ver la lista actualizada de subencargados del tratamiento de TravelPerk.

Si eres (o quieres ser) cliente de TravelPerk, la respuesta es NO. Como empresa con sede en la UE que trata datos personales conforme al RGPD, TravelPerk no está obligada a suscribir con sus clientes las cláusulas contractuales tipo para transferencias internacionales publicadas por la Comisión Europea el 4 de junio de 2021 (CCT).

Cuando TravelPerk necesite realizar transferencias ulteriores de tus datos personales a subencargados del tratamiento ubicados en terceros países (por ejemplo, Estados Unidos), puedes estar seguro de que dichas transferencias ya están reguladas por las CCT suscritas entre TravelPerk y el subencargado del tratamiento en cuestión. 

Si eres un proveedor establecido fuera de la UE/EEE o del Reino Unido en un país designado como no adecuado en materia de protección de la privacidad por la Comisión Europea (lista de países adecuados disponible aquí), la respuesta es SÍ. Debemos suscribir las cláusulas contractuales tipo para transferencias internacionales aprobadas por la Comisión Europea el 4 de junio de 2021 si como proveedor vas a prestar un servicio a TravelPerk que requiera el tratamiento de datos personales.

Debido a la naturaleza de nuestro servicio SaaS, no es viable aplicar restricciones de geolocalización por cliente. Nuestro entorno SaaS y todos los procesos operativos y de seguridad asociados están diseñados para ser estándar y uniformes y no se pueden adaptar a los requisitos específicos de clientes concretos. Por lo tanto, el acceso y uso de nuestro SaaS se proporciona «tal cual es» y de conformidad con nuestros procesos y procedimientos vigentes y con las condiciones recogidas en el contrato suscrito entre TravelPerk y el cliente.

Dicho esto, puedes estar seguro de que cumplimos los estándares de seguridad más exigentes de nuestro sector. Todas nuestras operaciones están auditadas con éxito conforme a los estándares del sector.  Nuestro proveedor de centro de datos, Amazon Web Services Ireland (con un centro de respaldo en Alemania), posee la certificación ISO 27001. También posee las certificaciones ISO 27017 e ISO 27018, SOC 1, SOC 2 y SOC 3, PCI DSS Nivel 1 y la certificación C5 de BSI.

Como plataforma SaaS, no contratamos subencargados del tratamiento en función de clientes concretos.  El uso de subencargados del tratamiento por parte de TravelPerk forma parte integrante de la prestación de nuestros servicios y todos los proveedores terceros están previamente contratados y sujetos a obligaciones contractuales con nosotros. Antes de contratar a proveedores externos, realizamos exhaustivas evaluaciones de seguridad para asegurarnos de que cumplen nuestros estrictos estándares de seguridad. Además, todos los subencargados del tratamiento han suscrito los correspondientes acuerdos de protección de datos para garantizar la seguridad y confidencialidad de los datos personales tratados en nombre de nuestros clientes. Esto nos permite mantener un alto nivel de seguridad y protección de la privacidad, al tiempo que proporcionamos a nuestros clientes servicios fiables y eficientes.

Tenemos un acuerdo de tratamiento de datos intragrupo global que regula todas las transferencias internas y que incluye las últimas cláusulas contractuales tipo para transferencias internacionales publicadas por la Comisión Europea el 4 de junio de 2021. Este acuerdo ofrece un marco sólido que garantiza que todas las transferencias de datos dentro de nuestra organización cumplen la normativa vigente sobre protección de datos y satisfacen los estándares más estrictos de seguridad y confidencialidad. La aplicación de estas cláusulas contractuales tipo nos permite mantener un alto nivel de protección de datos incluso cuando se transfieren datos personales a otros países, proporcionando a nuestros clientes la tranquilidad que necesitan para confiarnos su valiosa información.

Si eres usuario de TravelPerk: en calidad de encargados del tratamiento de datos colaboramos con nuestros clientes (responsables del tratamiento) para que gestionen las solicitudes de sus usuarios relacionadas con el tratamiento de sus datos personales. Los usuarios de TravelPerk deben enviar sus solicitudes al administrador de la cuenta TravelPerk de su empresa, que representa al responsable del tratamiento. Los administradores pueden suprimir ellos mismos determinados datos (pulsa aquí para ver las instrucciones) y también actualizar datos directamente desde la plataforma TravelPerk o solicitarnos más información si lo consideran oportuno.

Si eres un cliente potencial, un tester de productos, un asistente a un evento de TravelPerk o un visitante del sitio web de TravelPerk: puedes ejercer tus derechos de protección de datos a través de este formulario.

TravelPerk recopila los datos personales proporcionados por los usuarios a través de nuestra plataforma o servicio de atención al cliente a fin de prestar servicios de viajes de negocios. Si eres un viajero cuya empresa es cliente de TravelPerk, los datos personales que tratamos pueden incluir tu nombre, dirección de correo electrónico profesional, número de teléfono y datos de tu documento nacional de identidad o pasaporte. Además, puede que tratemos otro tipo de datos como los relativos a tarjetas de afiliación de viaje, métodos de pago, información sobre reservas y viajes, así como solicitudes de atención al cliente o reclamaciones, en la medida en que sea necesario para prestar nuestros servicios de gestión de viajes de negocios y permitirte realizar reservas de viajes.

Si eres usuario de TravelPerk y quieres eliminar tu cuenta de usuario, envía tu solicitud al administrador de la cuenta de TravelPerk de tu empresa. Los administradores de la empresa pueden eliminar cuentas de usuario de la plataforma TravelPerk siguiendo los pasos indicados en este artículo (en la sección «Eliminar usuario»). Los administradores también pueden modificar los datos de los usuarios desde el directorio de perfiles disponible en la plataforma TravelPerk.