Protección de periodistas, casos y empresas

Ethicontrol aloja sus servidores en centros de datos ubicados en otros lugares, en función de las necesidades del cliente. El centro de datos de Ethicontrol en Estados Unidos cumple las normas de SSAE 16 Tipo II e ISO 27001 y se encuentra en San José, California.

El centro de datos europeo de Ethicontrol se encuentra en Fráncfort (Alemania) y cumple las normas ISO 27001 e ISAE 3402 (equivalente a SSAE 16). Este centro de datos centro de datos está aislado y conserva los datos confidenciales y de los clientes únicamente dentro de la UE.

Además, Ethicontrol dispone de centros de datos en los EAU y otros lugares que requieren aislamiento nacional de datos.

Hacemos un seguimiento del tiempo de actividad mediante varios servicios y nos comprometemos con los SLA de nuestros clientes empresariales. Para el seguimiento utilizamos UptimeRobot y Honeybadger. El acceso a la página uptime.ethicontrol.com se puede proporcionar bajo petición.

Existe una opción para habilitar códigos de contraseña de un solo uso adicionales para la autorización en dos pasos en Ethicontrol. Aunque le roben la contraseña, su cuenta no será accesible para un posible pirata informático.

Cortafuegos proactivo de aplicaciones web, que bloquea categóricamente la gran mayoría de los ataques a aplicaciones web.

Todos los activos en la nube deben tener un propietario, una clasificación de seguridad y una finalidad definidos.

Para proteger mejor los datos a nuestro cargo, Ethicontrol clasifica los datos en diferentes niveles y especifica los requisitos de etiquetado y manipulación para cada una de esas clases.

Los datos de los clientes se clasifican al más alto nivel. Las clasificaciones de datos se mantienen como parte del proceso de gestión de activos. Ethicontrol realiza inventarios de activos de hardware, software y datos al menos una vez al año para mantener una correcta clasificación de los datos.

La parte de acceso público del sistema Ethicontrol (la aplicación de admisión y retroalimentación web de Ethicontrol) está separada de la aplicación de gestión de incidentes y casos de Ethicontrol, que es de uso interno exclusivo del cliente.

Los datos reunidos durante las investigaciones se aíslan de tal manera que no hay posibilidad de recibir acceso a los datos de la investigación una vez que el sistema de admisión se ve comprometido.

En caso de ataques DDOS o de otro tipo contra la aplicación de admisión de Ethicontrol, la aplicación de gestión de casos seguirá siendo totalmente operativa y estará protegida por herramientas y métodos más conservadores que no pueden utilizarse para portales y aplicaciones públicos.

Los datos de los usuarios (datos de cada empresa/cliente) están separados a nivel de base de datos y de almacenamiento en la nube. Los datos de diferentes empresas se aíslan de tal forma que no hay posibilidad de recibir acceso al acceso de otro usuario por accidente.

El entorno de producción de Ethicontrol, donde se encuentran todos los datos de los clientes y las aplicaciones orientadas al cliente, es una Virtual Private Cloud (VPC) lógicamente aislada. Las redes de producción y no producción están segregadas. Todo el acceso a la red entre los hosts de producción está restringido mediante cortafuegos para permitir únicamente que los servicios autorizados interactúen en la red de producción.

El acceso al entorno de producción de Ethicontrol desde redes públicas abiertas (Internet) está restringido. Solo un pequeño número de servidores de producción son accesibles desde Internet.

Cada usuario de Ethicontrol tiene una cuenta única con una dirección de correo electrónico verificada y está protegido con una contraseña, que se valida según las políticas de contraseñas y se almacena de forma segura mediante un potente algoritmo hash con una sal única para cada contraseña.

El acceso administrativo a los sistemas de la red de producción está limitado únicamente al CTO.

Los datos del cliente, incluyendo tareas y carpetas, solo pueden ser accedidos por otros usuarios dentro de su cuenta Ethicontrol si esos elementos fueron específicamente compartidos con ellos. De lo contrario, otros usuarios de Ethicontrol no podrán acceder a sus casos y tareas.

• Utilizamos directrices documentadas en las páginas corporativas de Confluence.
• Utilizamos brakeman, Bundler y RuboCop  para ejecutar manualmente y por Circle CI.
• Contratamos a expertos en seguridad para realizar pruebas de caja blanca, como inyección de fallos (manual), pruebas de penetración (manual) y pruebas de vulnerabilidades (tanto automáticas como manuales).

Ethicontrol también cuenta con un programa de divulgación responsable.

Ethicontrol cuenta con un proceso formal de gestión de cambios en el que se realiza un seguimiento de todos los cambios y se aprueban. Los cambios se revisan antes de trasladarlos a un entorno de pruebas, donde se comprueban antes de pasar a producción.

Requisitos y políticas de seguridad internos definidos, y mejores prácticas de seguridad bien conocidas aplicadas en cada etapa del ciclo de vida.

Revisión de la seguridad de las arquitecturas, diseño de funciones y soluciones.

Revisión iterativa manual y automatizada (mediante analizadores estáticos de código) del código fuente para detectar deficiencias de seguridad, vulnerabilidades y calidad del código, y proporcionar asesoramiento y orientación suficientes al equipo de desarrollo.

Evaluación manual periódica y escaneado dinámico del entorno de preproducción.
Se imparten cursos de seguridad a los equipos informáticos en función de sus respectivas funciones.

Ejecución continua de un programa de recompensas por fallos.

Ejecución continua de pruebas de seguridad internas y externas.

Cada acción dentro del sistema de gestión de casos queda registrada (gestores, no informadores).

Ethicontrol ofrece la posibilidad de obtener un informe con información actualizada de la actividad de la cuenta, incluidos eventos de autenticación, cambios en los controles de autorización y acceso, compartición de casos, materiales y tareas, y otras actividades de seguridad.

Ethicontrol realiza copias de seguridad diarias. Todas las copias de seguridad se cifran en tránsito y en reposo mediante un cifrado potente. Los archivos de copia de seguridad se almacenan de forma redundante en varias zonas de disponibilidad y están cifrados.