Monitoreo del rendimiento de aplicaciones, seguridad y cumplimiento
1. Seguridad organizacional
a. Programa de seguridad de la información
Hemos implementado un completo Programa de Seguridad de la Información integrado en toda nuestra organización. Esta estrategia se basa en el marco SOC 2, un sistema de auditoría de seguridad de la información establecido por el Instituto Americano de Contadores Públicos Certificados (AICPA).
b. Auditorías de terceros
Nuestra organización se somete voluntariamente a evaluaciones imparciales realizadas por terceros para garantizar una evaluación rigurosa de nuestras medidas de seguridad y controles de cumplimiento.
c. Pruebas de penetración de terceros
Realizamos pruebas de penetración independientes y externas, como mínimo, una vez al año para garantizar la integridad de la seguridad de nuestros servicios.
d. Definición de roles y asignación de responsabilidades
Los roles y responsabilidades relacionados con nuestro Programa de Seguridad de la Información y la protección de los datos de nuestros clientes están cuidadosamente definidos y documentados. Es obligatorio que todos los miembros del equipo revisen y cumplan con las políticas de seguridad establecidas.
e. Capacitación en concienciación sobre seguridad
Todos los miembros del equipo están obligados a participar en programas de capacitación en seguridad. Este programa incluye el estudio de técnicas estándar de la industria y temas clave, como la prevención del phishing y la gestión segura de contraseñas.
f. Confidencialidad
Cada miembro del equipo debe firmar y cumplir un acuerdo de confidencialidad conforme a los estándares de la industria antes de su primer día de trabajo.
g. Verificaciones de antecedentes
Realizamos verificaciones exhaustivas de antecedentes a todos los candidatos, en estricta conformidad con la legislación local.
2. Seguridad en la nube
a. Seguridad de la infraestructura en la nube
Nuestros servicios están alojados a través de Amazon Web Services (AWS), que cuenta con un sólido programa de seguridad y numerosas certificaciones. Para más información, visita AWS Security.
b. Seguridad en el alojamiento de datos
Todos nuestros datos se almacenan en bases de datos de Amazon Web Services (AWS) ubicadas en los Estados Unidos. Consulta la documentación específica del proveedor para obtener información adicional.
c. Cifrado de datos en reposo
Todas las bases de datos están cifradas de manera segura mientras están en reposo.
d. Cifrado de datos en tránsito
Nuestras aplicaciones utilizan cifrado en tránsito exclusivamente con TLS/SSL.
e. Escaneo de vulnerabilidades
Realizamos escaneos de vulnerabilidades y monitoreamos activamente amenazas.
f. Registro y monitoreo
Monitoreamos y registramos continuamente diversos servicios en la nube.
g. Continuidad del negocio y recuperación ante desastres
Utilizamos los servicios de respaldo de nuestro proveedor de alojamiento para minimizar el riesgo de pérdida de datos en caso de fallos de hardware. Contamos con servicios de monitoreo que alertan al equipo si algún fallo afecta a los usuarios.
h. Respuesta ante incidentes
Disponemos de un proceso para gestionar eventos de seguridad de la información, incluyendo procedimientos de escalación, mitigación rápida y comunicación.
3. Seguridad de acceso
a. Permisos y autenticación
El acceso a la infraestructura en la nube y otras herramientas sensibles está restringido a empleados autorizados según sus roles. Utilizamos Single Sign-On (SSO), autenticación en dos factores (2FA) y políticas de contraseñas robustas para proteger el acceso a los servicios en la nube.
b. Control de acceso con privilegios mínimos
Seguimos el principio de privilegio mínimo para la gestión de identidades y accesos.
c. Revisiones trimestrales de accesos
Realizamos revisiones trimestrales del acceso de todos los miembros del equipo a sistemas sensibles.
d. Requisitos de contraseñas
Todos los miembros del equipo deben cumplir con un conjunto mínimo de requisitos de complejidad para las contraseñas.
e. Gestores de contraseñas
Todos los portátiles corporativos cuentan con gestores de contraseñas para garantizar una gestión segura y el cumplimiento de la complejidad de las contraseñas.
4. Gestión de riesgos y proveedores
a. Evaluaciones anuales de riesgos
Llevamos a cabo evaluaciones anuales para identificar posibles amenazas, incluyendo consideraciones de fraude.
b. Gestión de riesgos de proveedores
Evaluamos el riesgo de cada proveedor y realizamos las revisiones necesarias antes de autorizar su incorporación.
5. Contáctanos
Si tienes preguntas, comentarios o inquietudes, o si deseas reportar un posible problema de seguridad, por favor contáctanos en help@eventtia.com.