Compliance
Centro de Confianza
Centro de seguridad, privacidad, cumplimiento y certificaciones de Vermont Solutions. ISO 27001/9001/45001, DORA-ready, GDPR/CCPA. Para evaluaciones de cliente.
Última actualización:
Certificaciones
| Estándar | Alcance | Desde | Certificado |
|---|---|---|---|
| ISO/IEC 27001:2022 | Gestión de la Seguridad de la Información | 2021 | Descargar PDF ↓ |
| ISO 9001:2015 | Gestión de la Calidad | — | Disponible bajo NDA |
| ISO/IEC 42001:2023 | Sistema de Gestión de IA | En proceso | En auditoría |
| ISO 45001:2018 | Seguridad y Salud Laboral | — | Disponible bajo NDA |
| ISO 14001:2015 | Gestión Ambiental | 2024 | ES57154B |
| Huella de Carbono (MITECO) | Registro de huella de carbono del MITECO — sello CÁLCULO, alcances 1+2 (2024) | 2024 | 2025-a1515 |
Certificado ISO 27001 descargable arriba. El resto, disponibles bajo NDA. Email
Huella de carbono inscrita en el Registro público de huella de carbono del MITECO (código 2025-a1515).
Alineación regulatoria
-
DORA Art. 28
Reglamento UE 2022/2554 — Proveedores TIC para infraestructura crítica
-
NIS2
Directiva UE 2022/2555 — Seguridad de redes y sistemas
-
AI Act
Reglamento UE 2024/1689 — Alineado vía sistema ISO 42001
-
RGPD
Reglamento UE 2016/679 — Cumplimiento completo, DPO designado
-
CCPA / CPRA
California — Aviso de privacidad + mecanismo Do Not Sell
-
UK GDPR / DPA 2018
Post-Brexit — Aviso suplementario para residentes UK
-
PIPEDA
Canadá — Alineación con la ley federal de privacidad
Postura DORA: resiliencia operativa
El Reglamento (UE) 2022/2554 (DORA) —aplicable desde el 17 de enero de 2025— exige a las entidades financieras europeas gestionar el riesgo de sus proveedores terceros de servicios TIC (Art. 28). Como proveedor de ingeniería para banca tier-1 y seguros, Vermont Solutions opera como parte de la cadena de resiliencia operativa de sus clientes, no como un proveedor ajeno.
-
Trazabilidad contractual (Art. 28/30)
Nuestros contratos contemplan, con carácter general, las cláusulas que DORA exige a los acuerdos con terceros TIC: descripción del servicio, niveles de servicio, ubicación del tratamiento, derechos de acceso/auditoría y estrategias de salida. Los aspectos específicos se ajustan por contrato según el encargo.
-
Seguridad de la información certificada
Vermont es empresa certificada en ISO/IEC 27001 (seguridad de la información, desde 2021), base del control técnico y organizativo que DORA presupone en un proveedor crítico.
-
Gestión de incidentes
Procedimiento de notificación de incidentes TIC alineado con la taxonomía de DORA, con notificación al cliente en un plazo máximo de 72 horas desde la detección de un incidente relevante.
-
Subcontratación transparente
Mantenemos identificada nuestra cadena de subcontratación TIC relevante y la ponemos a disposición del cliente bajo NDA, en due diligence, para que pueda mapear su riesgo de concentración.
-
Estrategia de salida y reversibilidad
Diseñamos las integraciones para que el cliente pueda recuperar datos y operaciones sin dependencia irreversible, algo clave en banca regulada.
DORA no se certifica; esto describe nuestra postura y alineación. Evidencias (certificados, cláusulas tipo, procedimiento de incidentes) disponibles bajo NDA.
Uso responsable de IA en Vermont
Aplicamos a nuestra propia operación la misma gobernanza de IA que implementamos para clientes. Esta declaración cubre cómo Vermont Solutions usa la IA internamente.
-
Supervisión humana
Toda salida de los sistemas de IA usados internamente se revisa por personas antes de su uso o publicación. Ninguna decisión que afecte a los derechos de una persona se toma únicamente con un sistema de IA.
-
Gobernanza ISO 42001
El uso interno de IA se enmarca en nuestro sistema de gestión de IA (ISO/IEC 42001, en proceso de certificación), con inventario y evaluación de riesgo de los sistemas utilizados.
-
Transparencia (EU AI Act, art. 50)
Identificamos el contenido generado o asistido por IA cuando procede.
-
Protección de datos
No usamos datos personales ni de cliente para entrenar modelos de terceros sin autorización expresa.
-
Herramientas
Usamos asistentes de IA para desarrollo de software y borradores de contenido, siempre con revisión humana antes de la entrega o publicación.
Privacidad en nuestros servicios de IA
Vermont Solutions presta servicios de gobernanza de sistemas de IA (alineados con ISO/IEC 42001 —en proceso— y el Reglamento de IA de la UE). Así tratamos los datos cuando esos servicios implican modelos de IA.
-
Minimización y finalidad
Solo tratamos los datos necesarios para el encargo, y exclusivamente para la finalidad acordada con el cliente (RGPD Art. 5).
-
No entrenamos modelos con datos de cliente
Los datos de proyectos de cliente no se utilizan para entrenar ni afinar modelos de IA, ni propios ni de terceros, incluidos los proveedores de modelos de lenguaje (LLM) externos que podamos emplear.
-
Encargado de tratamiento
Cuando tratamos datos personales por cuenta del cliente actuamos como encargado (RGPD Art. 28), con contrato de encargo y medidas técnicas y organizativas (base: ISO/IEC 27001 certificada).
-
Modelos y subencargados
Cuando empleamos modelos o servicios de IA de terceros que pudieran tratar datos, los gestionamos como subencargados con las garantías del Art. 28. La relación de subencargados y su ubicación de tratamiento está disponible para clientes bajo NDA, en due diligence.
-
Transferencias internacionales
Si algún subencargado trata datos fuera del EEE, se aplican garantías adecuadas (cláusulas contractuales tipo).
-
Decisiones automatizadas
Vermont no toma decisiones automatizadas con efectos jurídicos sobre interesados en nombre del cliente sin supervisión humana; cuando el cliente las requiera, se documenta la supervisión y la evaluación de impacto.
-
Derechos y registro
Los interesados ejercen sus derechos ante el responsable (el cliente); Vermont asiste como encargado. Disponemos de registro de actividades de tratamiento (RGPD Art. 30), entregable a clientes regulados en due diligence.
Consulta nuestra Política de Privacidad.
Igualdad, diversidad e inclusión
-
Plan de Igualdad
Inscrito en la Dirección General de Trabajo de la Comunidad de Madrid (Exp. 28/19/0571/2024), conforme a la LO 3/2007 + RD 901/2020
-
Plan LGTBI 2024–2026
Plan de Igualdad de Oportunidades y No Discriminación de las personas LGTBI (Ley 4/2023 + RD 1026/2024)
-
Plan de Diversidad
Plan de diversidad e inclusión de Vermont Solutions
-
Política de Derechos Humanos
Política corporativa de derechos humanos
-
Programa de Inclusión Laboral
Programa de inclusión laboral para personas en situación de discapacidad
Documentos legales
Protección de datos (RFP)
Acuerdo de Encargo de Tratamiento (DPA) — modelo
Modelo Art. 28 RGPD (PDF). Se revisa, completa y firma por contrato.
Descargar PDF →Due-diligence kit (ZIP)
Certificado ISO 27001 + DPA + política de seguridad de la información + sistema de gestión integrado, en una sola descarga.
Descargar ZIP →Lista de subprocesadores
Lista pública de subprocesadores web con ubicación y garantías de transferencia.
Ver lista →Contactos de compliance
- Canal del informante
- Enviar denuncia →
ESG y Sostenibilidad
Estrategia ESG alineada con CSRD (UE 2022/2464) para RFPs de banca europea. Panel ESG detallado disponible Q3 2026 (ver /sobre-nosotros/esg/ ).