Seguridad de la organización

Hemos implementado un sistema de gestión de la seguridad de la información (ISMS) que tiene en cuenta nuestros objetivos de seguridad, así como los riesgos y las reducciones correspondientes para todas las partes interesadas. Nos basamos en criterios y procedimientos rigurosos que incluyen la seguridad, la disponibilidad, el procesamiento, la integridad y la confidencialidad de los datos de los clientes.

Verificaciones sobre los antecedentes de empleados y colaboradores

Cada empleado o colaborador è sometido a un proceso de verificación de su pasado. Nos valemos de agencias externas reconocidas para llevar a cabo este control en nuestro nombre. Lo hacemos para verificar los antecedentes judiciales, las experiencias laborales previas, si las hay, y los títulos de estudio. Hasta que no se realice este control, al empleado o al colaborador no se les asignarán actividades que puedan implicar riesgos para los usuarios.

Conciencia de seguridad

Cada empleado o colaborador, en el momento de la contratación, firma un acuerdo de confidencialidad y una política de uso aceptable, después de lo cual participa en la formación relacionada con la seguridad de la información, la privacidad y el cumplimiento. Además, evaluamos el nivel de formación del empleado o del colaborador a través de pruebas y cuestionarios para determinar qué temas requieren un mayor profundización. Proporcionamos formación sobre aspectos específicos de la seguridad, los cuales el empleado o el colaborador podría necesitar según su rol. Formamos continuamente a nuestros empleados y colaboradores en materia de seguridad de la información, privacidad y cumplimiento en nuestra comunidad interna, a la que nuestros empleados y colaboradores acceden regularmente, para mantener actualizados personalmente sobre las prácticas de seguridad de la organización. Además, organizamos eventos internos para aumentar la concienciación y promover la innovación en términos de seguridad y privacidad.

Equipo dedicado a la seguridad y la privacidad

Disponemos de equipos dedicados a la seguridad y la privacidad que implementan y gestionan nuestros programas de seguridad y privacidad. Estos equipos diseñan y gestionan nuestros sistemas de defensa, desarrollan procesos de revisión para la seguridad y monitorean constantemente nuestras redes para detectar actividades sospechosas. Proporcionan servicios de consultoría y directrices específicas para el dominio a nuestros equipos de diseño.

Verificación interna y conformidad

Disponemos de un equipo dedicado a la conformidad que examina los procedimientos y políticas adoptadas por Framework360 con el fin de alinearlos a los estándares y determinar qué controles, procesos y sistemas son necesarios para cumplir con los estándares. Este equipo también realiza auditorías internas periódicas y facilita controles y evaluaciones independientes por parte de terceros. Para más detalles, consulta nuestro portafolio de conformidad.

Seguridad de los endpoints

Todas las estaciones de trabajo proporcionadas a los empleados y colaboradores ejecutan una versión actualizada del sistema operativo y están equipadas con software antivirus. Están configuradas para cumplir con nuestros estándares de seguridad, que requieren que todas las estaciones de trabajo estén correctamente configuradas, instaladas con los parches aplicados y monitoreadas por las soluciones de gestión de endpoints de Framework360. Estas estaciones de trabajo son seguras por defecto, ya que están configuradas para cifrar los datos en reposo, tienen contraseñas complejas y se bloquean si están inactivas. Los dispositivos móviles utilizados para fines empresariales están registrados en el sistema de gestión de dispositivos móviles, para garantizar que cumplan con nuestros estándares de seguridad.

Seguridad física en el entorno laboral

Controlamos el acceso a nuestros recursos (edificios, infraestructuras y instalaciones), que incluye el consumo, la entrada y el uso, a través de tarjetas de acceso. Proporcionamos a empleados, contratistas, proveedores y visitantes diferentes tarjetas de acceso que permiten la entrada solo para los fines específicos de ingreso a las instalaciones. El equipo de Recursos Humanos establece y gestiona fines específicos para los roles. Mantenemos registros de acceso para identificar y resolver anomalías.

Monitoreo

Monitoreamos todos los movimientos de entrada y salida en todas nuestras sedes, en todos nuestros centros de negocios y centros de datos a través de cámaras de circuito cerrado distribuidas en conformidad con las normativas locales. Una copia de respaldo de las grabaciones está disponible por un período determinado, dependiendo de los requisitos específicos de la estructura.

Seguridad de la infraestructura seguridad de la red

Nuestras técnicas de seguridad y monitoreo de la red están diseñadas para proporcionar más niveles de protección y defensa. Utilizamos firewalls para impedir accesos no autorizados a nuestra red y tráfico no deseado. Nuestros sistemas están divididos en redes separadas para proteger los datos sensibles. Los sistemas que soportan las actividades de prueba y desarrollo están alojados en una red separada respecto a los sistemas que soportan la infraestructura de producción de Framework360. Monitoreamos el acceso al firewall con una planificación rigurosa y regular. Un técnico de red examina todos los días todos los cambios realizados en el firewall. Además, cada tres meses se analizan estos cambios para actualizar y revisar las reglas. El equipo dedicado de nuestro Centro de Operaciones de Red monitorea la infraestructura y las aplicaciones para detectar cualquier discrepancia o actividad sospechosa. Todos los parámetros críticos son constantemente monitoreados a través de nuestra herramienta propietaria y se activan notificaciones en cualquier caso de actividad anómala o sospechosa en nuestro entorno de producción.

Redundancia de red

Todos los componentes de nuestra plataforma son redundantes. Utilizamos una arquitectura de red distribuida para proteger nuestro sistema y nuestros servicios de posibles errores en los servidores. En tal caso, los usuarios pueden seguir trabajando como de costumbre porque sus datos y los servicios Framework360 estarán disponibles. Además, utilizamos más switches, routers y gateways de seguridad para garantizar la redundancia a nivel de dispositivo. De este modo, se evitan fallos en puntos individuales de la red interna.

Prevención de ataques DDoS

Utilizamos tecnologías de proveedores de servicios consolidados y confiables para prevenir los ataques DDoS a nuestros servidores. Estas tecnologías ofrecen múltiples funcionalidades de mitigación de ataques DDoS, para evitar interrupciones causadas por tráfico dañino, permitiendo al mismo tiempo el tráfico bueno. De esta manera, nuestros sitios web, nuestras aplicaciones y nuestras API están siempre disponibles y funcionan bien.

Protección avanzada de servidores

Todos los servidores sometidos a aprovisionamiento para las actividades de desarrollo y prueba son reforzados (desactivando los puertos y las cuentas no utilizadas, eliminando las contraseñas predeterminadas, etc.). La imagen del sistema operativo (SO) base è dotada de un refuerzo del servidor integrado y la imagen de este sistema operativo se proporciona en los servidores para garantizar la coherencia entre los servidores.

Detección y prevención de intrusiones

Nuestro mecanismo de detección de intrusiones toma nota de las señales basadas en host en dispositivos individuales y señales basadas en la red, provenientes de puntos de monitoreo dentro de nuestros servidores. El acceso administrativo, el uso de comandos privilegiados y las llamadas al sistema en todos los servidores de nuestra red de producción son registrados. Las reglas y la inteligencia de las máquinas basadas en estos datos proporcionan a los técnicos de seguridad avisos de posibles incidentes. A nivel de aplicación, tenemos nuestro WAF propietario que opera sobre reglas de lista blanca y lista negra. A nivel de proveedor de servicios de Internet (ISP), se ha implementado un enfoque de seguridad multinivel con limpieza, enrutamiento de red, limitación de velocidad y filtrado para contrarrestar ataques a todos los niveles, desde la red hasta la aplicación. Este sistema garantiza tráfico limpio, servicio proxy confiable e informes inmediatos sobre posibles ataques. 

Seguridad de los datos Seguridad desde el diseño

Todos los cambios y nuevas funciones están regulados por una política de gestión de cambios, para garantizar que todos los cambios en las aplicaciones estén autorizados antes de la implementación en el entorno de producción. Nuestro ciclo de desarrollo de software (SDLC) impone la conformidad a las directrices sobre codificación segura, así como el análisis de los cambios en el código para detectar posibles problemas de seguridad con nuestras herramientas de análisis de código, escáneres de vulnerabilidades y procesos de revisión manual. Nuestro sólido marco de seguridad basado en los estándares OWASP, implementado a nivel de aplicación, proporciona funcionalidades para reducir amenazas como inyección SQL, Cross-Site Scripting y ataques DOS a nivel de aplicación.

Aislamiento de datos

Nuestro marco distribuye y mantiene el espacio en la nube para nuestros clientes. Los datos relacionados con la asistencia de cada cliente están separados lógicamente de los datos de otros clientes utilizando una serie de protocolos seguros en el marco. Esto garantiza que ninguno de los datos relacionados con la asistencia de los clientes sea accesible a otro cliente. Los datos relacionados con la asistencia se almacenan en nuestros servidores cuando utilizas nuestros servicios. Tus datos son de tu propiedad y no de Marketing Studio. No compartimos estos datos con terceros sin tu consentimiento.

Cifrado En tránsito: Todos los datos de los clientes transmitidos a nuestros servidores a través de redes públicas están protegidos por rigurosos protocolos de cifrado. Imponemos el uso de la cifrado Transport Layer Security (TLS 1.2/1.3) con claves de cifrado complejas para todas las conexiones a nuestros servidores, incluyendo acceso web, acceso API, aplicaciones para dispositivos móviles y acceso a clientes de correo electrónico IMAP/POP/SMTP. Esto garantiza una conexión segura permitiendo la autenticación de ambas partes involucradas en la conexión y la cifrado de los datos a transferir. Además, para el correo electrónico, nuestros servicios utilizan por defecto TLS oportunista. TLS cifra y entrega el correo electrónico de manera segura, reduciendo la interceptación entre los servidores de correo donde los servicios pares admiten este protocolo. Disponemos del soporte completo para Perfect Forward Secrecy (PFS) con nuestras conexiones cifradas, lo que nos asegura que, incluso en caso de compromisos futuros, ninguna comunicación anterior sería descifrada. Hemos habilitado el encabezado HTTP Strict Transport Security (HSTS) en todas nuestras conexiones web. Esto indica a todos los navegadores modernos que se conecten a nosotros solo a través de una conexión cifrada, incluso si se introduce en nuestro sitio la URL de una página no segura. Además, en la web, todas nuestras cookies de autenticación están marcadas como seguras.

A reposo: Los datos sensibles inactivos de los clientes se cifran mediante el Estándar de Cifrado Avanzado (AES) de 256 bits. Los datos cifrados en reposo varían según los servicios que elijas. Poseemos y gestionamos las claves a través de nuestro servicio interno de gestión de claves (KMS). Proporcionamos niveles adicionales de seguridad cifrando las claves de cifrado de datos mediante claves maestras. Las claves maestras y las claves de cifrado de datos están físicamente separadas y almacenadas en servidores diferentes con acceso limitado.

Conservación y eliminación de datos

Conservamos los datos en tu cuenta durante el tiempo que elijas utilizar Framework360. Después de que cierres tu cuenta de usuario Framework360, tus datos serán eliminados de la base de datos activa durante la siguiente limpieza, que se realiza una vez cada 6 meses. Los datos eliminados de la base de datos activa serán eliminados de las copias de seguridad después de 1 mes. Un proveedor verificado y autorizado se encarga de la eliminación de los dispositivos inutilizables. Hasta ese momento, los clasificaremos y los mantendremos en un lugar seguro. Cualquier información contenida dentro de los dispositivos será eliminada antes de la eliminación.

Gestión de las vulnerabilidades

Disponemos de un proceso dedicado para la gestión de las vulnerabilidades, que realiza el escaneo activo de las amenazas a la seguridad utilizando una combinación de herramientas de escaneo certificadas de terceros y herramientas internas, con actividades automatizadas y ejecución de pruebas de penetración manuales. Además, nuestro equipo encargado de la seguridad examina activamente los informes de seguridad entrantes y monitorea listas de correo públicas, publicaciones en blogs y wikis para identificar incidentes de seguridad que podrían afectar a la infraestructura empresarial. En caso de identificar una vulnerabilidad que corregir, esta se registra y se le asigna una prioridad según la gravedad y un propietario. Identificamos además los riesgos asociados y monitoreamos la vulnerabilidad hasta su resolución, aplicando parches a los sistemas vulnerables o controles pertinentes.

Protección contra malware y spam

Realizamos el escaneo de todos los archivos de usuario con nuestro sistema de escaneo automatizado, diseñado para prevenir la propagación de malware en el ecosistema Framework360. Nuestro motor anti-malware personalizado recibe actualizaciones periódicas de fuentes externas de inteligencia sobre amenazas y escanea los archivos en busca de firmas en listas negras y patrones peligrosos. Además, nuestro motor de detección propietario, combinado con técnicas de aprendizaje automático, garantiza la protección de los datos de los clientes contra el malware. Framework360 soporta el protocolo DMARC (Domain-based Message Authentication, Reporting, and Conformance) como método para evitar el spam. DMARC utiliza SPF y DKIM para verificar que los mensajes sean auténticos. También utilizamos nuestro motor de detección propietario para identificar el abuso de los servicios Framework360, por ejemplo, actividades de phishing y spam. Además, contamos con un equipo anti-spam dedicado para monitorear las señales provenientes del software y gestionar las quejas por abuso.

Backup

Realizamos copias de seguridad incrementales diarias y copias de seguridad completas semanales de nuestras bases de datos para los centros de datos (DC) de Framework360. Los datos de respaldo en el DC se almacenan en la misma ubicación y se cifran utilizando el algoritmo AES de 256 bits. Los datos se archivan en formato tar.gz. Todos los datos de respaldo se conservan durante 1 mes. Si un cliente solicita la restauración de datos dentro del período de retención, restauraremos los datos y los haremos disponibles con acceso seguro. Los tiempos de recuperación de datos dependen del tamaño y la complejidad de los propios datos. Para garantizar la seguridad de los datos de respaldo, en los servidores de respaldo se utiliza una matriz redundante de discos independientes (RAID). Todas las copias de seguridad se programan y supervisan regularmente. En caso de error, se inicia una nueva ejecución y el problema se resuelve inmediatamente. Recomendamos encarecidamente programar copias de seguridad regulares de los datos exportándolos desde los respectivos servicios Framework360 y almacenándolos localmente en su propia infraestructura.

Restablecimiento de emergencia y continuidad del servicio

Los datos de las aplicaciones se almacenan en un archivo resiliente que se replica en los centros de datos. Los datos en el DC primario se replican en el secundario casi en tiempo real. En caso de falla del DC primario, el DC secundario asume el control y las operaciones se realizan de manera fluida, con una pérdida de tiempo mínima o nula. Ambos centros cuentan con más ISP. Disponemos de sistemas de respaldo de energía, control de temperatura y prevención de incendios, además de medidas físicas para garantizar la continuidad empresarial. Estas medidas nos ayudan a asegurar la resiliencia. Además de la redundancia de datos, tenemos un plan de continuidad empresarial para nuestras operaciones principales, como el soporte y la gestión de la infraestructura.

Gestión de incidentes Segnalazione

Disponemos de un equipo dedicado a la gestión de incidentes. Te informamos sobre los incidentes en nuestro entorno que te conciernen, indicándote las acciones que podrías necesitar emprender. Monitoreamos y resolvemos los incidentes con las acciones correctivas adecuadas. Si es aplicable, nos comprometemos a identificar, recopilar, adquirir y proporcionar las pruebas necesarias en forma de registros de aplicaciones y verificaciones para los incidentes que te conciernen. Además, implementamos controles para evitar que se repitan situaciones similares. Respondemos con la máxima prioridad a los incidentes de seguridad o privacidad reportados por los usuarios a la dirección asistencia@marketingstudio.it. En caso de incidentes genéricos, notificaremos a los usuarios a través de nuestros blogs, foros y redes sociales. En caso de incidentes específicos de un solo usuario o de una organización, notificaremos a la parte interesada por correo electrónico (utilizando su dirección de correo electrónico principal o del administrador de la organización registrada en nuestro sistema).

Notificación de violación

En calidad de responsables del tratamiento de datos, comunicamos a la autoridad competente en materia de protección de datos una violación dentro de las 72 horas desde su detección, conforme al Reglamento General de Protección de Datos (GDPR). Según los requisitos específicos, también informamos a los clientes, si es necesario. En calidad de encargados del tratamiento de datos, informamos a los responsables del tratamiento de datos afectados sin retrasos injustificados.

Gestión de proveedores y proveedores de terceros

Evaluamos y calificamos a nuestros proveedores en función de nuestra política de gestión de proveedores. Integramos nuevos proveedores después de haber comprendido sus procesos de suministro del servicio y haber realizado las evaluaciones de riesgos. Adoptamos las medidas apropiadas para garantizar el mantenimiento de nuestra posición de seguridad, estableciendo acuerdos que obliguen a los proveedores a cumplir con los compromisos de confidencialidad, disponibilidad y integridad que hemos asumido hacia nuestros clientes. Monitorizamos el funcionamiento efectivo de los procesos y las medidas de seguridad de la organización realizando revisiones periódicas de los controles.

Controles de seguridad del cliente

Hasta ahora, hemos descrito lo que hacemos para garantizar a nuestros clientes la seguridad en varios frentes. A continuación se indican las cosas que puedes hacer como cliente para garantizar la seguridad:

  • Elige una contraseña única y compleja y protégela.
  • Utiliza la autenticación de múltiples factores.
  • Utiliza las versiones más recientes de los navegadores y de los sistemas operativos móviles y aplicaciones móviles actualizadas, para garantizar que se apliquen los parches de protección contra las vulnerabilidades y que se utilicen las funciones de seguridad más recientes.
  • Adopta precauciones razonables al compartir datos desde nuestro entorno en la nube.
  • Clasifica tu información en datos personales o sensibles y etiquétalos en consecuencia.
  • Monitorea los dispositivos conectados a tu cuenta, las sesiones web activas y el acceso de terceros para identificar anomalías en las actividades de tu cuenta y gestionar roles y privilegios correspondientes.
  • Sé consciente de las amenazas de phishing y malware, presta atención a direcciones de correo electrónico, sitios web y enlaces desconocidos que podrían aprovecharse de tu información sensible haciéndose pasar por Framework360 o por otros servicios en los que confías.

Conclusión

La seguridad de tus datos è un derecho tuyo y una misión sin fin para Marketing Studio. Continuaremos trabajando duro para mantener seguros tus datos, como siempre lo hemos hecho. Para más preguntas sobre este tema, escríbenos a la dirección asistenza@marketingstudio.it.   

¿Quieres aprender a utilizar Framework360?

Entra en el grupo
Mira los tutoriales

¿Te gusta este sitio? Este sitio web è sido realizado con Framework360.

Términos y condiciones SeguridadInformación anti-spamTipos de abusoViolación de derechos de autorReglamento de afiliaciónPrivacidadPolítica de CookiesPreferencias GDPR

Marketing Studio Srl Unipersonale © Todos los derechos reservados.
P.IVA/C.F 12717710011 - Corso Re Umberto 8, 10121 Turín (TO) - REA 1311172 - Capital social € 10.000,00 I.V.