Saltar ao contido principal
Vermont Solutions

Compliance

Centro de Confianza

Centro de seguridad, privacidad, cumplimiento y certificaciones de Vermont Solutions. ISO 27001/9001/45001, DORA-ready, GDPR/CCPA. Para evaluaciones de cliente.

Última actualización:

Certificaciones

Estándar Alcance Desde Certificado
ISO/IEC 27001:2022 Gestión de la Seguridad de la Información 2021 Descargar PDF ↓
ISO 9001:2015 Gestión de la Calidad Disponible bajo NDA
ISO/IEC 42001:2023 Sistema de Gestión de IA En proceso En auditoría
ISO 45001:2018 Seguridad y Salud Laboral Disponible bajo NDA
ISO 14001:2015 Gestión Ambiental 2024 ES57154B
Huella de Carbono (MITECO) Registro de huella de carbono del MITECO — sello CÁLCULO, alcances 1+2 (2024) 2024 2025-a1515

Certificado ISO 27001 descargable arriba. El resto, disponibles bajo NDA. Email

Huella de carbono inscrita en el Registro público de huella de carbono del MITECO (código 2025-a1515).

Alineación regulatoria

  • DORA Art. 28

    Reglamento UE 2022/2554 — Proveedores TIC para infraestructura crítica

  • NIS2

    Directiva UE 2022/2555 — Seguridad de redes y sistemas

  • AI Act

    Reglamento UE 2024/1689 — Alineado vía sistema ISO 42001

  • RGPD

    Reglamento UE 2016/679 — Cumplimiento completo, DPO designado

  • CCPA / CPRA

    California — Aviso de privacidad + mecanismo Do Not Sell

  • UK GDPR / DPA 2018

    Post-Brexit — Aviso suplementario para residentes UK

  • PIPEDA

    Canadá — Alineación con la ley federal de privacidad

Postura DORA: resiliencia operativa

El Reglamento (UE) 2022/2554 (DORA) —aplicable desde el 17 de enero de 2025— exige a las entidades financieras europeas gestionar el riesgo de sus proveedores terceros de servicios TIC (Art. 28). Como proveedor de ingeniería para banca tier-1 y seguros, Vermont Solutions opera como parte de la cadena de resiliencia operativa de sus clientes, no como un proveedor ajeno.

  • Trazabilidad contractual (Art. 28/30)

    Nuestros contratos contemplan, con carácter general, las cláusulas que DORA exige a los acuerdos con terceros TIC: descripción del servicio, niveles de servicio, ubicación del tratamiento, derechos de acceso/auditoría y estrategias de salida. Los aspectos específicos se ajustan por contrato según el encargo.

  • Seguridad de la información certificada

    Vermont es empresa certificada en ISO/IEC 27001 (seguridad de la información, desde 2021), base del control técnico y organizativo que DORA presupone en un proveedor crítico.

  • Gestión de incidentes

    Procedimiento de notificación de incidentes TIC alineado con la taxonomía de DORA, con notificación al cliente en un plazo máximo de 72 horas desde la detección de un incidente relevante.

  • Subcontratación transparente

    Mantenemos identificada nuestra cadena de subcontratación TIC relevante y la ponemos a disposición del cliente bajo NDA, en due diligence, para que pueda mapear su riesgo de concentración.

  • Estrategia de salida y reversibilidad

    Diseñamos las integraciones para que el cliente pueda recuperar datos y operaciones sin dependencia irreversible, algo clave en banca regulada.

DORA no se certifica; esto describe nuestra postura y alineación. Evidencias (certificados, cláusulas tipo, procedimiento de incidentes) disponibles bajo NDA.

Uso responsable de IA en Vermont

Aplicamos a nuestra propia operación la misma gobernanza de IA que implementamos para clientes. Esta declaración cubre cómo Vermont Solutions usa la IA internamente.

  • Supervisión humana

    Toda salida de los sistemas de IA usados internamente se revisa por personas antes de su uso o publicación. Ninguna decisión que afecte a los derechos de una persona se toma únicamente con un sistema de IA.

  • Gobernanza ISO 42001

    El uso interno de IA se enmarca en nuestro sistema de gestión de IA (ISO/IEC 42001, en proceso de certificación), con inventario y evaluación de riesgo de los sistemas utilizados.

  • Transparencia (EU AI Act, art. 50)

    Identificamos el contenido generado o asistido por IA cuando procede.

  • Protección de datos

    No usamos datos personales ni de cliente para entrenar modelos de terceros sin autorización expresa.

  • Herramientas

    Usamos asistentes de IA para desarrollo de software y borradores de contenido, siempre con revisión humana antes de la entrega o publicación.

Privacidad en nuestros servicios de IA

Vermont Solutions presta servicios de gobernanza de sistemas de IA (alineados con ISO/IEC 42001 —en proceso— y el Reglamento de IA de la UE). Así tratamos los datos cuando esos servicios implican modelos de IA.

  • Minimización y finalidad

    Solo tratamos los datos necesarios para el encargo, y exclusivamente para la finalidad acordada con el cliente (RGPD Art. 5).

  • No entrenamos modelos con datos de cliente

    Los datos de proyectos de cliente no se utilizan para entrenar ni afinar modelos de IA, ni propios ni de terceros, incluidos los proveedores de modelos de lenguaje (LLM) externos que podamos emplear.

  • Encargado de tratamiento

    Cuando tratamos datos personales por cuenta del cliente actuamos como encargado (RGPD Art. 28), con contrato de encargo y medidas técnicas y organizativas (base: ISO/IEC 27001 certificada).

  • Modelos y subencargados

    Cuando empleamos modelos o servicios de IA de terceros que pudieran tratar datos, los gestionamos como subencargados con las garantías del Art. 28. La relación de subencargados y su ubicación de tratamiento está disponible para clientes bajo NDA, en due diligence.

  • Transferencias internacionales

    Si algún subencargado trata datos fuera del EEE, se aplican garantías adecuadas (cláusulas contractuales tipo).

  • Decisiones automatizadas

    Vermont no toma decisiones automatizadas con efectos jurídicos sobre interesados en nombre del cliente sin supervisión humana; cuando el cliente las requiera, se documenta la supervisión y la evaluación de impacto.

  • Derechos y registro

    Los interesados ejercen sus derechos ante el responsable (el cliente); Vermont asiste como encargado. Disponemos de registro de actividades de tratamiento (RGPD Art. 30), entregable a clientes regulados en due diligence.

Consulta nuestra Política de Privacidad.

Igualdad, diversidad e inclusión

  • Plan de Igualdad

    Inscrito en la Dirección General de Trabajo de la Comunidad de Madrid (Exp. 28/19/0571/2024), conforme a la LO 3/2007 + RD 901/2020

  • Plan LGTBI 2024–2026

    Plan de Igualdad de Oportunidades y No Discriminación de las personas LGTBI (Ley 4/2023 + RD 1026/2024)

  • Plan de Diversidad

    Plan de diversidad e inclusión de Vermont Solutions

  • Política de Derechos Humanos

    Política corporativa de derechos humanos

  • Programa de Inclusión Laboral

    Programa de inclusión laboral para personas en situación de discapacidad

Documentos completos disponibles bajo petición / NDA. Email

Documentos legales

Protección de datos (RFP)

Contactos de compliance

DPO
CISO / Security
Compliance
Canal del informante
Enviar denuncia →

ESG y Sostenibilidad

Estrategia ESG alineada con CSRD (UE 2022/2464) para RFPs de banca europea. Panel ESG detallado disponible Q3 2026 (ver /sobre-nosotros/esg/ ).