Seguridad de la organización
Programa de seguridad de la información
- Disponemos de un programa de seguridad de la información que se comunica a toda la organización. Nuestro programa de seguridad de la información sigue los criterios establecidos por el marco SOC 2. SOC 2 es un procedimiento de auditoría de seguridad de la información ampliamente conocido, creado por el Instituto Americano de Contadores Públicos Certificados.
Auditorías de terceros
- Nuestra organización se somete a evaluaciones de terceros independientes para probar nuestros controles de seguridad y cumplimiento.
Pruebas de penetración de terceros
- Llevamos a cabo una penetración de terceros independientes al menos una vez al año para garantizar que la postura de seguridad de nuestros servicios no está comprometida.
Funciones y responsabilidades
- Las funciones y responsabilidades relacionadas con nuestro Programa de Seguridad de la Información y la protección de los datos de nuestros clientes están bien definidas y documentadas. Los miembros de nuestro equipo están obligados a revisar y aceptar todas las políticas de seguridad.
Formación de concienciación sobre seguridad
- Los miembros de nuestro equipo están obligados a realizar una formación de concienciación sobre seguridad para empleados que cubra las prácticas estándar del sector y temas de seguridad de la información como la suplantación de identidad y la gestión de contraseñas.
Confidencialidad
- Todos los miembros del equipo están obligados a firmar y adherirse a un acuerdo de confidencialidad estándar del sector antes de su primer día de trabajo.
Comprobación de antecedentes
- Realizamos comprobaciones de antecedentes de todos los nuevos miembros del equipo de acuerdo con las leyes locales.
Seguridad en la nube
Seguridad de la infraestructura en la nube
- Todos nuestros servicios están alojados en Amazon Web Services (AWS) y Google Cloud Platform (GCP). Emplean un sólido programa de seguridad con múltiples certificaciones. Para obtener más información sobre los procesos de seguridad de nuestro proveedor, visite Seguridad de AWS y Seguridad de GCP.
Seguridaddel alojamiento de datos
- Todos nuestros datos están alojados en bases de datos de Amazon Web Services (AWS) y Google Cloud Platform (GCP). Todas estas bases de datos están ubicadas en los Estados Unidos. Para más información, consulte la documentación específica del proveedor mencionada anteriormente.
Encriptación en reposo
- Todas las bases de datos están encriptadas en reposo.
Encriptación en tránsito
- Nuestras aplicaciones se encriptan en tránsito únicamente con TLS/SSL.
Escaneo de vulnerabilidad
- Realizamos escaneos de vulnerabilidad y monitoreamos activamente en busca de amenazas.
Registro y monitoreo
- Monitoreamos y registramos activamente varios servicios en la nube.
Continuidad del negocio y recuperación de desastres
- Utilizamos los servicios de respaldo de nuestro proveedor de alojamiento de datos para reducir cualquier riesgo de pérdida de datos en caso de una falla de hardware. Utilizamos servicios de supervisión para alertar al equipo en caso de cualquier fallo que afecte a los usuarios.
Respuesta a incidentes
- Disponemos de un proceso para gestionar los incidentes de seguridad de la información que incluye procedimientos de escalado, mitigación rápida y comunicación.
Seguridad de acceso
Permisos y autenticación
- El acceso a la infraestructura de la nube y a otras herramientas sensibles está limitado a los empleados autorizados que lo requieren para su función. En los casos en que está disponible, contamos con un inicio de sesión único (SSO), autenticación de dos factores (2FA) y políticas de contraseñas sólidas para garantizar la protección del acceso a los servicios en la nube.
Control de acceso de mínimo privilegio
- Seguimos el principio de mínimo privilegio con respecto a la gestión de la identidad y el acceso.
Revisiones trimestrales de acceso
- Realizamos revisiones trimestrales de acceso de todos los miembros del equipo con acceso a sistemas sensibles.
Requisitos de las contraseñas
- Todos los miembros del equipo deben cumplir un conjunto mínimo de requisitos y complejidad de las contraseñas de acceso.
Gestores de contraseñas
- Todos los ordenadores portátiles de la empresa utilizan un gestor de contraseñas para que los miembros del equipo puedan gestionarlas y mantener su complejidad.
Gestión de proveedores y riesgos
Evaluaciones de riesgo anuales
- Realizamos al menos evaluaciones de riesgo anuales para identificar cualquier amenaza potencial, incluyendo consideraciones de fraude.
Gestión de riesgo de proveedores
- Se determina el riesgo de los proveedores y se realizan las revisiones de proveedores apropiadas antes de autorizar a un nuevo proveedor.
Contáctenos
Si tiene alguna pregunta, comentario o preocupación o si desea informar de un posible problema de seguridad, por favor póngase en contacto con security@joor.com.
