Protección de periodistas, casos y empresas
Seguro, aislado, cifrado, auditado
Extracto de la política de seguridad de la información
Ethicontrol:
proporciona apoyo y mejora continua del SGSI
|
||
los empleados reciben formación periódica sobre seguridad de la información
|
||
se somete a auditorías periódicas
|
||
implantó una serie de controles exigidos por las normas: cifrado de bases de datos, cifrado SSL, exploración proactiva de vulnerabilidades, ISM
|
Extracto de la política de protección de datos personales
Consulte nuestros certificados y documentos de seguridad confidenciales en el portal de proveedores
ISO 27001 Seguridad de la información
ISO 27701 Privacidad de gestión certificada
El cumplimiento del GDPR en una instantánea
Nivel de organización
- Empresa registrada en la UE
- Responsable de protección de datos
- Creación y mantenimiento de un sistema de gestión de la privacidad certificado según la norma ISO 27701
- Medidas de seguridad de la información.
- Manual del GDPR
- Número de divulgaciones adicionales realizadas en https://ethicontrol.gdprpage.com/
- Apoyo a la APD, solicitudes de datos, notificaciones de violación de datos, solicitudes de supresión de datos.
Nivel técnico
- Almacenamiento solo en la UE
- No se registran los datos personales de visitantes y denunciantes
- No se utilizan scripts ni ninguna otra herramienta de seguimiento de la huella digital
- Cifrado de datos en tránsito y almacenados
- No hay análisis de metadatos ni investigación con los datos de nuestros clientes
- Cláusulas de exención de responsabilidad en materia de protección de datos y otra información durante el proceso de notificación
- Funciones especiales de seguridad en relación con acceso y tratamiento de datos
- Vista única de una persona y de los
datos (Dossier) - posibilidad de suprimir / sanear
Nivel funcional
- Recordatorios y notificaciones cuando se produzcan determinados criterios de protección de datos
- Posibilidad de sanear (anonimizar) los detalles de los casos (por ejemplo, datos personales) y, opcionalmente, también los archivos adjuntos.
- Política de confianza cero en las aplicaciones
- Gestión de autorizaciones y concepto de roles para afinar el acceso a los contenidos sensibles de los casos.
Preguntas Comunes Relacionadas con la Seguridad
Centros de datos de categoría mundial
Ethicontrol aloja sus servidores en centros de datos ubicados en otros lugares, en función de las necesidades del cliente. El centro de datos de Ethicontrol en Estados Unidos cumple las normas de SSAE 16 Tipo II e ISO 27001 y se encuentra en San José, California.
El centro de datos europeo de Ethicontrol se encuentra en Fráncfort (Alemania) y cumple las normas ISO 27001 e ISAE 3402 (equivalente a SSAE 16). Este centro de datos centro de datos está aislado y conserva los datos confidenciales y de los clientes únicamente dentro de la UE.
Además, Ethicontrol dispone de centros de datos en los EAU y otros lugares que requieren aislamiento nacional de datos.
Tiempo de actividad del 99,9
Hacemos un seguimiento del tiempo de actividad mediante varios servicios y nos comprometemos con los SLA de nuestros clientes empresariales. Para el seguimiento utilizamos UptimeRobot y Honeybadger. El acceso a la página uptime.ethicontrol.com se puede proporcionar bajo petición.
Autorización de dos factores
Existe una opción para habilitar códigos de contraseña de un solo uso adicionales para la autorización en dos pasos en Ethicontrol. Aunque le roben la contraseña, su cuenta no será accesible para un posible pirata informático.
Cortafuegos de aplicaciones web
Cortafuegos proactivo de aplicaciones web, que bloquea categóricamente la gran mayoría de los ataques a aplicaciones web.
Clasificación de los datos
Todos los activos en la nube deben tener un propietario, una clasificación de seguridad y una finalidad definidos.
Para proteger mejor los datos a nuestro cargo, Ethicontrol clasifica los datos en diferentes niveles y especifica los requisitos de etiquetado y manipulación para cada una de esas clases.
Los datos de los clientes se clasifican al más alto nivel. Las clasificaciones de datos se mantienen como parte del proceso de gestión de activos. Ethicontrol realiza inventarios de activos de hardware, software y datos al menos una vez al año para mantener una correcta clasificación de los datos.
Aislamiento de aplicaciones
La parte de acceso público del sistema Ethicontrol (la aplicación de admisión y retroalimentación web de Ethicontrol) está separada de la aplicación de gestión de incidentes y casos de Ethicontrol, que es de uso interno exclusivo del cliente.
Los datos reunidos durante las investigaciones se aíslan de tal manera que no hay posibilidad de recibir acceso a los datos de la investigación una vez que el sistema de admisión se ve comprometido.
En caso de ataques DDOS o de otro tipo contra la aplicación de admisión de Ethicontrol, la aplicación de gestión de casos seguirá siendo totalmente operativa y estará protegida por herramientas y métodos más conservadores que no pueden utilizarse para portales y aplicaciones públicos.
Aislamiento de datos
Los datos de los usuarios (datos de cada empresa/cliente) están separados a nivel de base de datos y de almacenamiento en la nube. Los datos de diferentes empresas se aíslan de tal forma que no hay posibilidad de recibir acceso al acceso de otro usuario por accidente.
El entorno de producción de Ethicontrol, donde se encuentran todos los datos de los clientes y las aplicaciones orientadas al cliente, es una Virtual Private Cloud (VPC) lógicamente aislada. Las redes de producción y no producción están segregadas. Todo el acceso a la red entre los hosts de producción está restringido mediante cortafuegos para permitir únicamente que los servicios autorizados interactúen en la red de producción.
El acceso al entorno de producción de Ethicontrol desde redes públicas abiertas (Internet) está restringido. Solo un pequeño número de servidores de producción son accesibles desde Internet.
Autenticación y control de acceso
Cada usuario de Ethicontrol tiene una cuenta única con una dirección de correo electrónico verificada y está protegido con una contraseña, que se valida según las políticas de contraseñas y se almacena de forma segura mediante un potente algoritmo hash con una sal única para cada contraseña.
El acceso administrativo a los sistemas de la red de producción está limitado únicamente al CTO.
Los datos del cliente, incluyendo tareas y carpetas, solo pueden ser accedidos por otros usuarios dentro de su cuenta Ethicontrol si esos elementos fueron específicamente compartidos con ellos. De lo contrario, otros usuarios de Ethicontrol no podrán acceder a sus casos y tareas.
Directrices de desarrollo
- Utilizamos directrices documentadas en las páginas corporativas de Confluence.
- Utilizamos brakeman, Bundler y RuboCop para ejecutar manualmente y por Circle CI.
- Contratamos a expertos en seguridad para realizar pruebas de caja blanca, como inyección de fallos (manual), pruebas de penetración (manual) y pruebas de vulnerabilidades (tanto automáticas como manuales).
Ethicontrol también cuenta con un programa de divulgación responsable.
Ciclo de vida del desarrollo de software (SDLC)
Ethicontrol cuenta con un proceso formal de gestión de cambios en el que se realiza un seguimiento de todos los cambios y se aprueban. Los cambios se revisan antes de trasladarlos a un entorno de pruebas, donde se comprueban antes de pasar a producción.
Requisitos y políticas de seguridad internos definidos, y mejores prácticas de seguridad bien conocidas aplicadas en cada etapa del ciclo de vida.
Revisión de la seguridad de las arquitecturas, diseño de funciones y soluciones.
Revisión iterativa manual y automatizada (mediante analizadores estáticos de código) del código fuente para detectar deficiencias de seguridad, vulnerabilidades y calidad del código, y proporcionar asesoramiento y orientación suficientes al equipo de desarrollo.
Evaluación manual periódica y escaneado dinámico del entorno de preproducción.
Se imparten cursos de seguridad a los equipos informáticos en función de sus respectivas funciones.
Ejecución continua de un programa de recompensas por fallos.
Ejecución continua de pruebas de seguridad internas y externas.
Seguimiento de las actividades de los usuarios
Cada acción dentro del sistema de gestión de casos queda registrada (gestores, no informadores).
Ethicontrol ofrece la posibilidad de obtener un informe con información actualizada de la actividad de la cuenta, incluidos eventos de autenticación, cambios en los controles de autorización y acceso, compartición de casos, materiales y tareas, y otras actividades de seguridad.
Copia de seguridad continua de los datos
Ethicontrol realiza copias de seguridad diarias. Todas las copias de seguridad se cifran en tránsito y en reposo mediante un cifrado potente. Los archivos de copia de seguridad se almacenan de forma redundante en varias zonas de disponibilidad y están cifrados.