Monitoreo del rendimiento de aplicaciones, seguridad y cumplimiento

1. Seguridad organizacional

a. Programa de seguridad de la información

Hemos implementado un completo Programa de Seguridad de la Información integrado en toda nuestra organización. Esta estrategia se basa en el marco SOC 2, un sistema de auditoría de seguridad de la información establecido por el Instituto Americano de Contadores Públicos Certificados (AICPA).

b. Auditorías de terceros

Nuestra organización se somete voluntariamente a evaluaciones imparciales realizadas por terceros para garantizar una evaluación rigurosa de nuestras medidas de seguridad y controles de cumplimiento.

c. Pruebas de penetración de terceros

Realizamos pruebas de penetración independientes y externas, como mínimo, una vez al año para garantizar la integridad de la seguridad de nuestros servicios.

d. Definición de roles y asignación de responsabilidades

Los roles y responsabilidades relacionados con nuestro Programa de Seguridad de la Información y la protección de los datos de nuestros clientes están cuidadosamente definidos y documentados. Es obligatorio que todos los miembros del equipo revisen y cumplan con las políticas de seguridad establecidas.

e. Capacitación en concienciación sobre seguridad

Todos los miembros del equipo están obligados a participar en programas de capacitación en seguridad. Este programa incluye el estudio de técnicas estándar de la industria y temas clave, como la prevención del phishing y la gestión segura de contraseñas.

f. Confidencialidad

Cada miembro del equipo debe firmar y cumplir un acuerdo de confidencialidad conforme a los estándares de la industria antes de su primer día de trabajo.

g. Verificaciones de antecedentes

Realizamos verificaciones exhaustivas de antecedentes a todos los candidatos, en estricta conformidad con la legislación local.

2. Seguridad en la nube

a. Seguridad de la infraestructura en la nube

Nuestros servicios están alojados a través de Amazon Web Services (AWS), que cuenta con un sólido programa de seguridad y numerosas certificaciones. Para más información, visita AWS Security.

b. Seguridad en el alojamiento de datos

Todos nuestros datos se almacenan en bases de datos de Amazon Web Services (AWS) ubicadas en los Estados Unidos. Consulta la documentación específica del proveedor para obtener información adicional.

c. Cifrado de datos en reposo

Todas las bases de datos están cifradas de manera segura mientras están en reposo.

d. Cifrado de datos en tránsito

Nuestras aplicaciones utilizan cifrado en tránsito exclusivamente con TLS/SSL.

e. Escaneo de vulnerabilidades

Realizamos escaneos de vulnerabilidades y monitoreamos activamente amenazas.

f. Registro y monitoreo

Monitoreamos y registramos continuamente diversos servicios en la nube.

g. Continuidad del negocio y recuperación ante desastres

Utilizamos los servicios de respaldo de nuestro proveedor de alojamiento para minimizar el riesgo de pérdida de datos en caso de fallos de hardware. Contamos con servicios de monitoreo que alertan al equipo si algún fallo afecta a los usuarios.

h. Respuesta ante incidentes

Disponemos de un proceso para gestionar eventos de seguridad de la información, incluyendo procedimientos de escalación, mitigación rápida y comunicación.

3. Seguridad de acceso

a. Permisos y autenticación

El acceso a la infraestructura en la nube y otras herramientas sensibles está restringido a empleados autorizados según sus roles. Utilizamos Single Sign-On (SSO), autenticación en dos factores (2FA) y políticas de contraseñas robustas para proteger el acceso a los servicios en la nube.

b. Control de acceso con privilegios mínimos

Seguimos el principio de privilegio mínimo para la gestión de identidades y accesos.

c. Revisiones trimestrales de accesos

Realizamos revisiones trimestrales del acceso de todos los miembros del equipo a sistemas sensibles.

d. Requisitos de contraseñas

Todos los miembros del equipo deben cumplir con un conjunto mínimo de requisitos de complejidad para las contraseñas.

e. Gestores de contraseñas

Todos los portátiles corporativos cuentan con gestores de contraseñas para garantizar una gestión segura y el cumplimiento de la complejidad de las contraseñas.

4. Gestión de riesgos y proveedores

a. Evaluaciones anuales de riesgos

Llevamos a cabo evaluaciones anuales para identificar posibles amenazas, incluyendo consideraciones de fraude.

b. Gestión de riesgos de proveedores

Evaluamos el riesgo de cada proveedor y realizamos las revisiones necesarias antes de autorizar su incorporación.

5. Contáctanos

Si tienes preguntas, comentarios o inquietudes, o si deseas reportar un posible problema de seguridad, por favor contáctanos en help@eventtia.com.