Seguridad

Introducción

La seguridad y el cumplimiento son las principales prioridades de DUFREI porque son fundamentales para su experiencia con el producto. DUFREI se compromete a proteger sus datos, eliminando la vulnerabilidad de los sistemas y asegurando la continuidad del acceso.

DUFREI utiliza una variedad de tecnologías y servicios estándar de la industria para proteger sus datos del acceso no autorizado, la divulgación, el uso y la pérdida. Todos los empleados de DUFREI se someten a controles de antecedentes antes del empleo y reciben capacitación sobre prácticas de seguridad durante la incorporación en la empresa y anualmente.

La seguridad es dirigida por el CEO de DUFREI y mantenida por el equipo de Seguridad y Operaciones de DUFREI.

Divulgación de vulnerabilidad

Si desea informar una vulnerabilidad o tiene algún problema de seguridad con un servicio de DUFREI, contáctese con [email protected]

Incluya una prueba de concepto, una lista de las herramientas utilizadas (incluidas las versiones) y el resultado de las herramientas. Tomamos todas las revelaciones muy en serio. Una vez que se reciben las divulgaciones, verificamos rápidamente cada vulnerabilidad antes de tomar los pasos necesarios para solucionarla. Una vez verificado, se resuelven los problemas.

Cumplimiento y certificación

GDPR

Si se trata de datos de la Unión Europea de un cliente especifico, entonces se necesita un acuerdo contractual con cada uno para que la UE sepa que solo está haciendo negocios con empresas que cumplen totalmente con el Reglamento General de Protección de Datos (GDPR).

En un esfuerzo por superar los requisitos de GDPR y proporcionar los mismos beneficios de privacidad a todos nuestros usuarios, DUFREI aplica los estándares de la regulación a nivel mundial, en lugar de limitar su alcance a Europa. Todos los datos de los clientes (y todos nuestros datos de marketing) se tratan de forma que se ajusten a GDPR.

Puede enviar una solicitud de datos GDPR a DUFREI en cualquier momento a través de un correo a [email protected], y le responderemos dentro de 72 horas.

También puede actualizar su consentimiento para que lo contactemos con fines de marketing a través de la liga que aparece al pie de los correos de DUFREI o a través de la pestaña de Soporte de la aplicación si usted es un usuario de DUFREI.

HIPAA and HITECH

Los datos de DUFREI se alojan en Google Cloud Platform, que encripta todos los datos en reposo de forma predeterminada, de conformidad con la Regla de Privacidad dentro del Título II de HIPAA. DUFREI también ejerce un fuerte control de acceso y salvaguardias técnicas y administrativas de conformidad con la Regla de Seguridad de HIPAA.

Sentry puede firmar un Acuerdo de Asociado Comercial (AAC o BAA) con clientes empresariales que requieren servicios de datos para garantizar el cumplimiento de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), modificada por la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH).

PCI DSS

La información de pago es manejada por Stripe, que ha sido auditado por un Evaluador de Seguridad Calificado por PCI y está certificado como Proveedor de Servicios de PCI.

DUFREI no recibe datos de tarjetas de crédito, por lo que cumple con los estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS), pero la información bancaria que recibe se trata con el mismo cuidado. DUFREI también limpia automáticamente los datos bancarios, por defecto.

Infraestructura y seguridad de red

Control de acceso físico

DUFREI está alojado en Google Cloud Platform. Los centros de datos de Google cuentan con un modelo de seguridad en capas, que incluye protecciones amplias, tales como:

  • Tarjetas de acceso electrónico diseñadas a medida
  • Alarmas
  • Barreras de acceso de vehículos
  • Vallado perimetral
  • Detector de metales
  • Biometría

De acuerdo con el documento de seguridad de Google: "El piso del centro de datos cuenta con detección de intrusión de rayo láser. Los centros de datos se supervisan las 24 horas del día, los 7 días de la semana, con cámaras de alta resolución en interiores y exteriores, que pueden detectar y rastrear a los intrusos. Los registros de acceso, los registros de actividad y el metraje de la cámara se revisan en caso de que ocurra un incidente. Los centros de datos también son patrullados rutinariamente por guardias de seguridad profesionales que han sido sometidos a rigurosas revisiones de antecedentes y capacitación".

Los empleados de DUFREI no tienen acceso físico a los centros de datos, servidores, equipos de red o almacenamiento de Google.

Control de acceso lógico

DUFREI es el administrador asignado de su infraestructura en Google Cloud Platform, y solo los miembros designados del equipo de operaciones de Sentry tienen acceso para configurar la infraestructura según sea necesario detrás de una red privada virtual autenticada de dos factores. Se requieren claves privadas específicas para servidores individuales, y las claves se almacenan en una ubicación segura y encriptada.

Pruebas de penetración

DUFREI se somete a pruebas de penetración. La información sobre las vulnerabilidades de seguridad explotadas con éxito mediante pruebas de penetración se usa para establecer prioridades de mitigación y remediación.

Auditoría de terceros

Google Cloud Platform se somete regularmente a auditorías independientes de terceros y puede proporcionar verificación de controles de cumplimiento para sus centros de datos, infraestructura y operaciones. Esto incluye, entre otros, la certificación SOC 2 que cumple con SSAE 16 y la certificación ISO 27001.

Intrustion Detection and Prevention

Los patrones de red inusuales o el comportamiento sospechoso se encuentran entre las principales preocupaciones de Sentry para el alojamiento y la administración de la infraestructura. Los sistemas de prevención y detección de intrusos de Google Cloud Platform (IDS / IPS) y otras medidas de seguridad utilizadas por DUFREI, confían tanto en la seguridad basada en firmas como en la seguridad basada en algoritmos para identificar patrones de tráfico que son similares a los métodos de ataque conocidos.

IDS / IPS implica controlar rigurosamente el tamaño y la composición de la superficie de ataque, empleando controles inteligentes de detección en puntos de entrada de datos, y desarrollando e implementando tecnologías que remedian automáticamente situaciones peligrosas, y evitando que las amenazas conocidas accedan al sistema en la primera lugar.

Continuidad del negocio y recuperación de desastres

Alta disponibilidad

Cada parte del servicio DUFREI utiliza servicios redundantes aprovisionados correctamente (por ejemplo, múltiples equilibradores de carga, servidores web, bases de datos redundantes) en caso de error. Como parte del mantenimiento regular, los servidores se podrian retiran sin afectar la disponibilidad.

Continuidad del negocio

DUFREI mantiene copias de seguridad cifradas diarias de datos en múltiples regiones en Google Cloud Platform. Aunque se espera que nunca pase, en el caso de pérdida de datos de producción (es decir, pérdida de almacenamiento de datos primarios), restauraremos los datos de la organización a partir de estas copias de seguridad.

Recuperación de desastres

En caso de una interrupción en toda la región, DUFREI podria activar un entorno duplicado en una región diferente de Google Cloud Platform.

Flujo de datos

Datos entrantes al sistema

Nuestra plataforma recibe de forma segura datos, que contienen información sobre posiciones, traslados, entre otros, que procesa y almacena. Los datos son vistos por los usuarios a través de conexiones cifradas.

Datos a través del sistema

Los datos se envían de forma segura a DUFREI a través de TLS a un punto final HTTPS. Todos los datos están codificados AES-256bit, tanto en tránsito como en reposo. DUFREI agrega datos junto con datos contextuales cargados por el usuario o de fuentes externas.

El último informe de laboratorios SSL de DUFREI se puede encontrar aquí.

Datos fuera del sistema

Una vez que se procesan los datos, se puede acceder a ellos a través de la interfaz de usuario de DUFREI. DUFREI se integra con una variedad de herramientas de terceros para que los usuarios puedan combinar datos de DUFREI con datos de otros sistemas, administrar flujos de trabajo de manera eficiente y recibir alertas a través de notificaciones y otras herramientas, además del correo electrónico. Por lo tanto, los altos estándares de seguridad y cumplimiento de DUFREI también se extienden a su red de socios.

Seguridad y privacidad de datos

Cifrado de datos

Todos los datos en los servidores DUFREI se cifran automáticamente en reposo. Google Cloud Platform almacena y administra claves de criptografía de datos en su servicio de administración de claves redundante y distribuido a nivel mundial. Por lo tanto, si un intruso alguna vez pudiera acceder a cualquiera de los dispositivos físicos de almacenamiento, los datos de DUFREI contenidos allí serían aún imposibles de descifrar sin las claves, haciendo que la información sea una mezcla inútil de caracteres aleatorios.

El cifrado en reposo también permite medidas de continuidad como la administración de respaldo y de infraestructura sin comprometer la seguridad y privacidad de los datos.

DUFREI envía datos exclusivamente a través de las conexiones cifradas de seguridad de la capa de transporte (TLS) de HTTPS para una mayor seguridad a medida que los datos entran y salen de la aplicación.

Retención de datos

DUFREI conserva datos de eventos durante 2 años por defecto, independientemente del plan. Eliminamos datos individuales después de 2 años. Todos los datos y la mayoría de los metadatos se eliminan del servicio y del servidor sin un archivo adicional para evitar la amenaza de intrusión.

Remoción de datos

Todos los datos del cliente almacenados en los servidores DUFREI se someten a eliminación cuando el cliente cancela el servicio y se borran los datos y la cuenta después de un período de espera de 72 horas para evitar la cancelación accidental. Unicamente manteniendo información que puede servir para fines estadisticos o si dicha información es copropiedad de un tercero usuario, proveedor o cliente de DUFREI, de conformidad con la legislación aplicable la información podria ser ofuscada protegiendo los datos personales y la privacidad de los usuarios.

Seguridad de la plataforma y aplicaciones

Inicio de sesión único

La implementación de inicio de sesión único (SSO) de DUFREI prioriza la seguridad. Controlamos de forma agresiva las cuentas vinculadas y las desactivamos con cualquier señal razonable de que el acceso a la cuenta haya sido revocado. SSO también mejora la experiencia del usuario agilizando el inicio de sesión y mejorando el acceso desde dominios de confianza. DUFREI actualmente ofrece SSO a través de Facebook.

Acceso por correo o telefono movil

DUFREI no almacena contraseñas de acceso de usuario, hace uso de sistemas de autenticacion dependientes de Google Cloud Platform. Creado el mismo equipo que desarrolló Google Sign-in, Smart Lock y Chrome Password Manager, y aplica la experiencia interna de Google en la administración de una de las bases de datos de cuentas más grandes del mundo.

Seguridad del correo electrónico

El servicio DUFREI incluye notificaciones e informes por correo electrónico. El marco de políticas del remitente (SPF) es un sistema para evitar la falsificación de direcciones de correo electrónico y minimizar el correo no deseado entrante. Tenemos registros de SPF establecidos y autenticación, informes y conformidad de mensajes basados en el dominio (DMARC) configurados para monitorear informes a fin de evitar la posibilidad de fraudes de phishing.

Desarrollo seguro de aplicaciones (ciclo de vida de desarrollo de aplicaciones)

DUFREI practica la entrega continua, lo que significa que todos los cambios de código se confirman, prueban, envían y repiten en una secuencia rápida. Una metodología de entrega continua, complementada por solicitud de extracción, integración continua (CI) y seguimiento automatizado de errores, disminuye significativamente la probabilidad de un problema de seguridad y mejora el tiempo de respuesta y la erradicación efectiva de errores y vulnerabilidades.

Seguridad corporativa

Protección de malware

En DUFREI, creemos que las buenas prácticas de seguridad comienzan con nuestro propio equipo, por lo que nos desviamos de nuestro camino para protegernos contra las amenazas internas y las vulnerabilidades locales. Todas las estaciones de trabajo provistas por la compañía ejecutan administración de inventario y antivirus, lo que habilita y refuerza el bloqueo de pantalla, el firewall y otras características de seguridad. La plataforma tambien cuenta con McAfee Secure.

Planificación de contingencias

El equipo de operaciones de DUFREI incluye la continuidad del servicio y la remediación de amenazas entre sus principales prioridades. Mantenemos un plan de contingencia en caso de eventos imprevistos, incluidos los subplanes de gestión de riesgos, recuperación ante desastres y comunicación al cliente, que se prueban y actualizan de manera continua y se revisan minuciosamente en busca de lagunas y cambios.

Entrenamiento de seguridad

Todos los empleados nuevos reciben capacitación en sistemas y abordo, que incluye configuración de entornos y permisos, capacitación formal en desarrollo de software (si corresponde), revisión de políticas de seguridad, revisión de políticas de la compañía y capacitación en valores corporativos y ética.

Todos los ingenieros revisan las políticas de seguridad como parte de la incorporación y se les anima a revisar y contribuir a las políticas a través de la documentación interna. Cualquier cambio en la política que afecte al producto se comunica como una solicitud de extracción, de modo que todos los ingenieros puedan revisar y contribuir antes de la publicación interna. Las principales actualizaciones se comunican por correo electrónico a todos los empleados de DUFREI.