politica de seguridad

La seguridad es una de las partes más vitales para ofrecer una solución de software en la nube a nuestros clientes. Proteger los datos confidenciales es fundamental para nuestros valores en Accept Mission. Es por eso que hemos implementado políticas de seguridad rigurosas que continuamos revisando, actualizando y desarrollando. Como organización y en las soluciones de software que entregamos.

“Estamos Comprometidos con la Seguridad y Privacidad de la Información”

Accept Mission mantiene un programa integral de seguridad de la información que incluye medidas técnicas y organizativas apropiadas diseñadas para proteger los datos del clúster de nuestros clientes contra el acceso, la modificación o la eliminación no autorizados.

Aislamos a los clientes unos de otros
Todos los clientes empresariales están aislados con su propia base de datos con credenciales únicas y generadas aleatoriamente, protegidas y cifradas mediante Azure Kubernetes Service. Todos los clientes están aislados dentro de su propio espacio de nombres dentro de Kubernetes, con políticas de red, roles y otras medidas de seguridad implementadas para garantizar que cada inquilino esté realmente aislado.

Brindamos acceso SSO a la plataforma
Los administradores del espacio de trabajo tienen la opción de habilitar el acceso seguro de inicio de sesión único a la plataforma. Ofrecemos muchas formas diferentes de lograr esto: SAML, Azure B2B, OpenID y creamos integraciones con proveedores de SSO de terceros.

Monitoreamos proactivamente el servicio
Revisamos regularmente nuestros paneles de monitoreo de servicios y configuramos alertas para notificar a nuestro equipo si algo parece estar fuera de lugar.

Mantenemos el software actualizado
Utilizamos plazos de aplicación de parches rápidos para vulnerabilidades críticas y altas. Cada dos semanas se instalan nuevas actualizaciones de software cuando están disponibles y son seguras y estables para nuestra solución SaaS.

Monitoreamos y actuamos ante comportamientos sospechosos
Se monitorean los patrones de red inusuales o el comportamiento sospechoso. Los sistemas de detección y prevención de intrusos (IDS/IPS) de la infraestructura de Microsoft Azure se basan tanto en la seguridad basada en firmas como en la seguridad basada en algoritmos para identificar patrones de tráfico que son similares a los métodos de ataque conocidos. IDS/IPS implica controlar estrictamente el tamaño y la composición de la superficie de ataque, empleando controles de detección inteligente en los puntos de entrada de datos y desarrollando e implementando tecnologías que remedian automáticamente situaciones peligrosas, así como también previenen que las amenazas conocidas accedan al sistema en el primer momento. lugar.

Accept Mission no brinda acceso directo a los análisis forenses de eventos de seguridad, pero brinda acceso a los equipos de ingeniería y atención al cliente durante y después de cualquier tiempo de inactividad no programado.

Auditamos continuamente durante los procesos de desarrollo
Acepte los cambios de auditorías de Mission en nuestra aplicación a lo largo del ciclo de vida de desarrollo a través de revisiones de arquitectura y estrictos procesos de revisión de código automáticos y manuales.

Hemos incorporado controles de seguridad
Hemos tomado medidas significativas para garantizar que los datos de los clientes de Accept Mission no se puedan leer, copiar, modificar o eliminar durante la transmisión electrónica, el transporte o el almacenamiento a través de medios no autorizados.
Para reducir la probabilidad de incidentes relacionados con vulnerabilidades, el equipo de Accept Mission implementa posturas basadas en los últimos kernels del sistema operativo y parchea la "flota" de computación cada vez que ocurre un CVE crítico (es decir, "vulnerabilidad y exposición comunes", en términos de seguridad). se descubre en cualquier componente de software.

Usamos las últimas versiones de Encryption TLS v1.3
Los clústeres se implementan detrás de proxies y no son visibles para el escaneo de Internet. La comunicación cifrada Transport Layer Security (TLS) desde Internet se proporciona en la configuración predeterminada (versión 1.3). Los nodos de Accept Mission se ejecutan en contenedores aislados, configurados de acuerdo con el principio de privilegio mínimo y con restricciones en las llamadas al sistema y las operaciones raíz permitidas. Aceptar Los nodos de la misión se comunican mediante TLS. Los datos del clúster se cifran en reposo. El acceso a la API está limitado a las API de Aceptar misión y no se permite el acceso remoto a la instancia o el contenedor en el nivel de Linux. Los contenedores no tienen forma de establecer comunicación con contenedores de otro clúster.

No realizamos pruebas de penetración basadas en Internet contra las ofertas de producción de Accept Mission; sin embargo, utilizamos a terceros para realizar evaluaciones de seguridad de aplicaciones contra los componentes de software de Accept Mission utilizados para brindar estos servicios.

Practicamos la Gestión Responsable de Vulnerabilidades
Accept Mission reconoce que el desarrollo de software incluye inherentemente la posibilidad de introducir vulnerabilidades. Aceptamos y divulgamos las vulnerabilidades descubiertas en nuestro software de manera transparente.

Operamos de conformidad con los principios del RGPD
Accept Mission opera de conformidad con los principios del RGPD. Los clientes de Accept Mission están cubiertos a través del Addendum de procesamiento de datos (DPA) de Accept Mission.

Proteger tu cuenta
En Accept Mission sabemos que la seguridad es responsabilidad de todos. Es por eso que integramos la seguridad en el desarrollo de nuestros productos y en la base de Accept Mission Cloud. La seguridad y privacidad de sus datos de Accept Mission Cloud SaaS también depende de que usted mantenga la confidencialidad de sus credenciales de inicio de sesión de Accept Mission Cloud.

Aquí hay una lista de verificación rápida:

  • No comparta sus credenciales con otros.
  • Actualice el perfil de su cuenta para asegurarse de que la información sea correcta y actual.
  • Asegúrese de haber establecido contraseñas seguras.
  • Si cree que una cuenta ha sido comprometida, contáctenos.
  • Si necesita realizar una solicitud de borrado, póngase en contacto con nosotros.

Nuestra declaración de privacidad es transparente y clara
Aceptar Misión respeta los derechos de privacidad de las personas. Nuestra Política de privacidad deja muy claro cuándo recopilamos datos personales y cómo los usamos. Hemos escrito nuestra política de privacidad en un lenguaje sencillo para que sea transparente para nuestros usuarios y clientes.

Operamos en una moderna plataforma SaaS en la nube
Usamos la infraestructura de Microsoft Azure para nuestro centro de datos en la nube, lo que significa que nuestros clientes se benefician de las certificaciones de cumplimiento y las prácticas de seguridad integrales de GCP. Estándar, todos nuestros servidores están ubicados en Europa Occidental. Los clientes empresariales pueden optar por colocar su servidor de base de datos en otra ubicación en todo el mundo. No alojamos datos de clientes en nuestras instalaciones ni almacenamos datos de clientes con otros servicios de terceros. GCP es un proveedor líder en la nube que cuenta con las mejores certificaciones de seguridad de la industria, como SOC2 e ISO 27001, y proporciona cifrado en tránsito y en reposo.

Accept Mission Cloud está alojado en una infraestructura que controlamos a través de Microsoft Azure Kubernetes. Para permitir que se comunique con sus sistemas, ejecutamos un único NAT por el que fluye todo el tráfico vinculado a Internet. No conservamos ninguno de sus datos y todos los cálculos se ejecutan en contenedores de corta duración que finalizan una vez que se completan las tareas. Nuestro clúster y bases de datos están alojados en una VPC privada con todas las IP privadas. Nos conectamos al clúster a través de SSH a un nodo bastión configurado con redes autorizadas.

Control de acceso físico
Accept Mission está alojado en la infraestructura de Microsoft Azure Cloud. Los centros de datos de Azure cuentan con un modelo de seguridad en capas, que incluye protecciones amplias, como:

  • Tarjetas de acceso electrónicas diseñadas a medida
  • alarmas
  • Barreras de acceso de vehículos
  • Vallado perimetral
  • Detector de metales
  • Biometría

Según el documento técnico de seguridad de Microsoft: “El piso del centro de datos cuenta con detección de intrusión de rayos láser. Los centros de datos son monitoreados las 24 horas del día, los 7 días de la semana por cámaras interiores y exteriores de alta resolución que pueden detectar y rastrear a los intrusos. Los registros de acceso, los registros de actividad y las imágenes de la cámara se revisan en caso de que ocurra un incidente. Los centros de datos también son patrullados de forma rutinaria por guardias de seguridad profesionales que se han sometido a rigurosos controles de antecedentes y capacitación”.

Aceptar Los empleados de Mission no tienen acceso físico a los centros de datos, servidores, equipos de red o almacenamiento de Microsoft Azure.

Control de acceso a la red
Accept Mission es el administrador asignado de su infraestructura en la infraestructura de Microsoft Azure Cloud, y solo los miembros autorizados del equipo de operaciones de Accept Mission tienen acceso para configurar la infraestructura según sea necesario detrás de una red privada virtual autenticada de dos factores. Se requieren claves privadas específicas para servidores individuales, y las claves se almacenan en una ubicación segura y cifrada.

Pruebas de penetración
Accept Mission se somete a una evaluación de vulnerabilidades y pruebas de penetración, realizadas anualmente por una agencia externa independiente. Para nuestros clientes de nivel empresarial, nos complace proporcionar los resultados de sus hallazgos y la mitigación que aplicamos.

Auditoría de terceros
La infraestructura de Microsoft Azure Cloud se somete periódicamente a varias auditorías independientes de terceros y puede proporcionar verificación de controles de cumplimiento para sus centros de datos, infraestructura y operaciones. Esto incluye, entre otros, la certificación SOC 2 que cumple con SSAE 16 y la certificación ISO 27001.

Continuidad del negocio y recuperación ante desastres

Alta disponibilidad
Cada parte del servicio Accept Mission utiliza servidores redundantes debidamente aprovisionados (p. ej., múltiples balanceadores de carga, servidores web, réplicas de bases de datos) en caso de falla. Como parte del mantenimiento regular, los servidores se ponen fuera de servicio sin afectar la disponibilidad.

Continuidad del negocio
Accept Mission mantiene copias de seguridad cifradas continuas de los datos en la infraestructura de Microsoft Azure Cloud. Si bien nunca se esperaba, en caso de pérdida de datos de producción (es decir, pérdida de almacenamiento de datos primarios), restauraremos los datos de la organización a partir de estas copias de seguridad.

Recuperación de desastres
En caso de una interrupción en toda la región, Accept Mission mostrará un entorno duplicado en una infraestructura diferente de Microsoft Azure Cloud. Siempre respetamos la ubicación de los datos según el acuerdo de los clientes.

Objetivo de punto de recuperación (RPO)
La antigüedad máxima aceptable de los datos que se pueden restaurar (o punto de recuperación) y la versión de los datos perdidos. RPO: '24 horas'.

Objetivo de tiempo de recuperación (RTO)
El tiempo máximo aceptable requerido para que una organización recupere los datos perdidos y vuelva a estar en funcionamiento. RTO: '72 horas'.

Tránsito de datos

datos en servidores
Todas las conexiones entrantes hacia nuestros servidores deben cifrarse con el cifrado SSL estándar de la industria. Se puede encontrar el último informe de SSL Labs aquí.

Datos entre nuestros servidores
Las conexiones entre nuestros servidores (es decir, servidores web <-> bases de datos) se cifran a través de TLS v1.3 con un método de cifrado AES-256bit. Los secretos, como la contraseña de la base de datos, los secretos de la API se cifran con el mismo método AES-256bit.

Datos fuera de nuestros servidores
Una vez que se procesa la solicitud, la respuesta se devuelve utilizando la misma conexión cifrada HTTPs SSL.

Seguridad y privacidad de datos

Cifrado de datos
Todos los datos en los servidores de Accept Mission se cifran automáticamente en reposo. La infraestructura de Microsoft Azure Cloud almacena y administra claves criptográficas de datos en su servicio de administración de claves redundante y distribuido globalmente. Por lo tanto, si un intruso alguna vez pudiera acceder a cualquiera de los dispositivos de almacenamiento físico, los datos de Aceptar misión contenidos en ellos seguirían siendo imposibles de descifrar sin las claves, convirtiendo la información en un revoltijo inútil de caracteres aleatorios.

El cifrado en reposo también permite medidas de continuidad como la copia de seguridad y la gestión de la infraestructura sin comprometer la seguridad y la privacidad de los datos. Accept Mission envía datos exclusivamente a través de conexiones cifradas de seguridad de capa de transporte (TLS) HTTPS para mayor seguridad a medida que los datos transitan hacia y desde la aplicación.

Retención y eliminación de datos
Almacenamos todos los datos hasta por 6 años a menos que se elimine su cuenta. En cuyo caso, eliminamos todos los datos de acuerdo con nuestros Términos de servicio y Política de privacidad, dentro de los 60 días. La información sobre transacciones legales entre clientes y Accept Mission se almacenará hasta por 5 años.

Capacitación en seguridad
Todos los empleados nuevos reciben capacitación sobre sistemas e integración, incluida la configuración de permisos y entornos, capacitación formal sobre desarrollo de software (si corresponde), revisión de políticas de seguridad, revisión de políticas de la empresa y capacitación sobre ética y valores corporativos.

Todos los ingenieros revisan las políticas de seguridad como parte de la incorporación y se les anima a revisar y contribuir a las políticas a través de la documentación interna. Cualquier cambio en la política que afecte al producto se comunica como una solicitud de extracción, de modo que todos los ingenieros puedan revisar y contribuir antes de la publicación interna. Las actualizaciones importantes se comunican por correo electrónico a todos los empleados.

Política de divulgación
Accept Mission sigue el proceso de respuesta y manejo de incidentes recomendado por SANS, que incluye identificar, contener, erradicar, recuperarse, comunicar y documentar eventos de seguridad. Accept Mission notifica a los clientes sobre cualquier violación de datos dentro de los 2 días hábiles por correo electrónico o llamada telefónica, seguido de actualizaciones periódicas en todo momento, abordando el progreso y el impacto.

Informe en vivo del estado de los sistemas
Accept Mission mantiene un informe en vivo del tiempo de actividad operativa y los problemas en nuestro página de estado.

Plan de respuesta a incidentes
En caso de un incidente de seguridad, es mejor tener un plan y responsabilidades claramente definidos. A continuación, encontrará más detalles sobre el plan de respuesta que tiene Accept Mission en el caso improbable de una violación de seguridad.

Responsabilidades
Nivel 1: Dependiendo de cómo se informe o descubra el incidente, generalmente contamos con el primer nivel de soporte técnico que es probable que evalúe o escale el problema. Normalmente, ese rol está reservado para quien esté en el turno de soporte técnico de nivel 1 en ese momento.

Nivel 2: Es un ingeniero senior o CTO que clasifica el impacto del incidente de seguridad.

Nivel 3: CTO o CEO es responsable de la comunicación con las partes afectadas sobre los detalles de la infracción.

proceso de triaje
Antes de escalar el incidente al siguiente nivel, la persona que primero se entera debe verificar el incidente y su impacto inicial.

Proceso de escalación
Una vez verificado, el proceso de escalamiento debe ser inmediato al nivel 2 y luego al nivel 3 verbalmente, por teléfono, correo electrónico, cualquier medio disponible.

Proceso de clasificación
Una vez escalado, se debe determinar el rango/gravedad del incidente. ¿Afecta a todos los clientes? ¿Una sola empresa? ¿Un individuo? ¿Qué tipo de datos se vieron afectados, si los hubo? ¿Estaba encriptado? ¿Si es así, cómo?

Proceso de investigación
Analice todos los elementos del incidente para identificar todas las causas o dónde ocurrió una falla, incluidos el software, el hardware, las personas y los procesos internos.

Lecciones aprendidas
Con base en el resultado de la investigación, determine qué podría hacerse para prevenir este ataque y qué mecanismos defensivos fallaron y tome medidas inmediatas para remediar la causa y mejorar el proceso futuro.

Contactando Aceptar Misión

Si tiene alguna pregunta sobre la Política de seguridad, contáctenos.

Aceptar misión
Van Nelleweg 1,
3044 aC, Róterdam

Esta Política de Seguridad es efectiva a partir del 01 de enero de .