Política de Seguridad
En NubePal, la seguridad está incorporada en nuestro ADN y es una prioridad máxima en todo el ciclo de funcionamiento de todos nuestros servicios. Hemos incorporado las mejores prácticas / sistemas de la industria en seguridad tanto para nuestros procesos de Arquitectura como de Gestión.
Centro de Datos
NubePal aloja sus servidores en multiples Centros de Datos, entre ellos alojamos servidores físicamente en Hostdime, Liquidweb, Data Foundry y Amazon. Dependiendo del servicio contratado tu servicio se despliega en alguno de esos Data Centers
Todos estos Data Centers y Proveedores de Servicios Cloud cuentan con certificaciónes SOC2 Tipo II, ISO 27001: 2013 y PCI DSS 3.2.1.
Seguridad Física de los Data Centers
- El acceso a áreas sensibles en cada centros de datos está restringido a personas autorizadas y requiere autenticación multifactor.
- Un mínimo de redundancia N + 1 para todos los componentes críticos.
- Alarmas de intrusión junto con monitoreo las 24 horas del día del centro de datos.
- Cámaras de vigilancia colocadas en ubicaciones estratégicas, incluida la entrada / salida de centros de datos y áreas clave.
Seguridad de la infraestructura lógica y controles operativos
- NubePal emplea la estrategia de Defensa en Profundidad tanto a nivel de infraestructura como de aplicación.
- Se implementan WAF, firewalls y sistemas de detección de intrusiones para fortalecer la seguridad del perímetro.
- La infraestructura de copias de seguridad de NubePal y los servidores en producción estan separados tanto lógica como físicamente.
Acceso al software de gestión y servidores
- Se gestiona de forma centralizada y está restringida únicamente al equipo de desarrolladores y administradores certificados
- El acceso se restringe por IPs previamente autorizadas en listas blancas
- Requiere autenticación multifactor
- Toda la conexión a los servidores se realiza a través de conexiones cifradas
- Revisiones periódicas de usuarios y certificaciones para validar que solo el personal aprobado tenga acceso
- Protección contra malware potenciado por Imunify360 para detectar las firmas de amenazas más recientes y realizar escaneos y seguridad en tiempo real
Cifrado
- Cifrado TLS 1.2 compatible con FIPS 140-2 (con cifrados fuertes) para datos en tránsito.
- Cifrado AES de 256 bits con una fuerza de clave de 1.024 bits para datos en reposo
- El acceso a las claves de cifrado está limitado a personas autorizadas.
- Las llaves se rotan periódicamente
Registro y monitoreo
- Los sistemas de gestión de registros de NubePal garantizan que todos los eventos críticos generados desde sistemas, firewalls, IDS, WAF y otros se registren y supervisen durante todo el día.
- Los planes y procesos de respuesta a incidentes se prueban periódicamente para validar su eficacia y adecuación.
Recuperación de Desastrez
Los servicios de NubePal se basan en el principio de evitar un desastre
- Nuestra infraestructura se basa en el principio de alta disponibilidad y resiliencia a través de la agrupación de servicios y las redundancias para evitar un solo punto de fallas.
- El programa de continuidad empresarial de NubePal garantiza que nuestros planes de recuperación de desastrez se prueben al menos una vez al año y ante cambios significativos en la infraestructura.
Nuestro Personal y la Seguridad
La seguridad comienza con las personas que contratamos. Nuestro proceso de incorporación para empleados y contratistas incluye lo siguiente:
- Capacitación obligatoria sobre las prácticas y políticas de seguridad de NubePal
- No divulgación, acuerdos de confidencialidad y política de uso aceptable
Gestión de seguridad de terceros
Las políticas de NubePal exigen que antes de contratar servicios de proveedores externos, se lleve a cabo digilencias obligatorias como:
- Evaluaciones de riesgos de cumplimiento
- Evaluaciones de riesgos de seguridad
- Pruebas de vulnerabilidad y penetración
Ademas, se firman acuerdos de confidencialidad y otras cláusulas de seguridad y cumplimiento apropiadas en función de la importancia de sus servicios para NubePal.
Para más informacion sobre este tema consulte nuestra Politica de Privacidad