Seguridad y Cumplimiento para Equipos Ágiles a Escala
Tomamos muy en serio la seguridad de los datos de nuestros clientes. Garantizamos la integridad de los datos de nuestros clientes utilizando seguridad de nivel empresarial para realizar auditorías en nuestra aplicación y redes.
Seguridad del centro de datos y la red
| Seguridad física | |
|---|---|
| Instalaciones | Todos los datos de servicio generados en Kendis están alojados en centros de datos de AWS. Estos están certificados como ISO 27001, Proveedor de Servicios PCI/DSS Nivel 1 y/o conformes con SOC II. La infraestructura de AWS cuenta con servicios impecables que protegen sus datos. Estos servicios incluyen energía de respaldo, sistemas HVAC y equipos de supresión de incendios para ayudar a proteger los servidores y, en última instancia, sus datos. |
| Seguridad en el lugar | Para contar con la mejor seguridad in situ, AWS dispone de algunas de las mejores medidas de seguridad que incluyen guardias de seguridad, cercas, cámaras de seguridad y tecnología de detección de intrusos. Más información sobre la seguridad física de AWS. |
| Monitoreo | El personal de Kendis monitorea constantemente todos los Servidores de Producción. Mientras que AWS monitorea la seguridad física, la energía y la conectividad a internet. |
| Ubicación | Kendis utiliza centros de datos de AWS en los Estados Unidos. Con la opción de alojamiento en Nube Privada, los clientes pueden elegir la ubicación de AWS en los Estados Unidos, Europa y Asia. |
| Seguridad de la red | |
|---|---|
| Equipo de Seguridad Dedicado | Nuestro Equipo de Seguridad responde con prontitud a las alertas de seguridad y está disponible de guardia las 24 horas del día, los 7 días de la semana. |
| Protección | Utilizamos seguridad de primer nivel para proteger nuestra red. También realizamos auditorías periódicas y empleamos tecnologías de inteligencia de red que vigilan cualquier ataque o actividad maliciosa. |
| Arquitectura | Para nuestra arquitectura de seguridad de red, la hemos dividido en varias zonas según su sensibilidad, función y riesgo. |
| Análisis de Vulnerabilidades de Red | Mediante un análisis adecuado de seguridad de red, podemos identificar sistemas potencialmente vulnerables. |
| Pruebas de Penetración | El equipo de pruebas de seguridad realiza pruebas de penetración periódicas. |
| Gestión de Eventos e Incidentes de Seguridad (SIEM) | Es fundamental para registrar logs de dispositivos de red clave y sistemas anfitriones. También notifica al Equipo de Seguridad en caso de cualquier ataque. |
| Detección y Prevención de Intrusiones | Todos los puntos de entrada y salida de los servicios son monitoreados de cerca para detectar cualquier actividad maliciosa. Se generan alertas. |
| Programa de Inteligencia de Amenazas | Nuestro Programa de Inteligencia de Amenazas detecta cualquier amenaza publicada en redes de inteligencia de amenazas. Se toman medidas rápidas contra las amenazas graves. |
| Mitigación de DDoS | Kendis ha diseñado un enfoque multicapa para la mitigación de DDoS. Hemos diseñado un Componente DDoS personalizado para prevenir cualquier tipo de ataque. |
| Acceso Lógico | Para acceder a la Red de Producción de Kendis, nuestros empleados deben utilizar múltiples factores de autenticación. |
| Respuesta a Incidentes de Seguridad | Si se genera una alerta, los equipos responsables de la seguridad de la red son notificados de inmediato y llevan a cabo la respuesta. |
| Cifrado | |
|---|---|
| Cifrado en Tránsito | Todas las transmisiones de datos están cifradas utilizando las mejores prácticas de la industria: HTTPS y Transport Layer Security (TLS) sobre redes públicas. |
| Cifrado en Reposo | Los Datos de Servicio están cifrados en reposo en AWS utilizando cifrado de clave AES 256. |
| Disponibilidad y continuidad | |
|---|---|
| Tiempo de actividad | Kendis se esfuerza por mantener un tiempo de actividad superior al 99%. Rara vez hemos tenido interrupciones, pero en caso de que ocurran, le aseguramos que contamos con ingenieros capacitados disponibles las 24 horas del día, los 7 días de la semana, que resolverán el problema en minutos. |
| Recuperación ante Desastres | En caso de un evento, podemos recuperarnos fácilmente de cualquier desastre. Nuestro sólido entorno técnico, los procedimientos de prueba y los planes de recuperación ante desastres lo garantizan. |
Seguridad de la aplicación
| Desarrollo seguro (SDLC) | |
|---|---|
| Capacitación en Seguridad | Mantenemos un enfoque constante en capacitar a los ingenieros en seguridad de aplicaciones web, cubriendo los 10 principales riesgos de seguridad de OWASP y los vectores de ataque más comunes. |
| Java Spring Security Framework | Utilizamos Java Spring Security Framework para Kendis, que es fundamental para reducir la Inyección SQL (SQLi), el Cross Site Scripting (XSS) y el Cross Site Forgery (CSRF). |
| QA | Nuestro equipo de pruebas garantiza pruebas exhaustivas y detalladas. |
| Entornos Separados | El Entorno de Producción está completamente aislado de las actividades de prueba y puesta en escena. Nos aseguramos de que todas nuestras actividades de prueba y puesta en escena se realicen en entornos separados. No utilizamos ningún Dato de Servicio para pruebas o desarrollo. |
| Vulnerabilidades de la aplicación | |
|---|---|
| Análisis Dinámico de Vulnerabilidades | Con la ayuda de herramientas de seguridad de terceros, podemos analizar e identificar dinámicamente cualquier riesgo de seguridad de los riesgos de seguridad de OWASP. |
| Análisis Estático de Código | Utilizamos herramientas de análisis estático para analizar el código fuente. |
| Pruebas de Penetración de Seguridad | Proteger los datos de los clientes es nuestra máxima prioridad. Nos enorgullecemos de tomar medidas efectivas y realizar pruebas contra las amenazas de seguridad que pueden afectar los datos de nuestros clientes. Kendis realiza pruebas de penetración de forma regular. |
Funciones de seguridad del producto
| Seguridad de Autenticación | |
|---|---|
| Opciones de Autenticación | Nuestras opciones de autenticación incluyen el inicio de sesión seguro de Kendis, el inicio de sesión único de Okta y Active Directory para implementaciones en sitio. |
| Almacenamiento Seguro de Credenciales | Kendis almacena contraseñas que no se guardan en formato legible por humanos, lo que mejora su seguridad. |
| Funciones de seguridad adicionales del producto | |
|---|---|
| Controles de Acceso Basados en Roles | Kendis tiene diferentes niveles de permisos. El acceso a los datos está gobernado por control de acceso basado en roles (RBAC) y puede configurarse para definir privilegios de acceso granulares. |
| Seguridad de Transmisión | Todas las transmisiones de datos con las interfaces de usuario y APIs de Kendis están cifradas mediante el estándar de la industria HTTPS/TLS sobre redes públicas. |
Metodologías de seguridad adicionales
| Concienciación sobre Seguridad | |
|---|---|
| Políticas | Kendis cuenta con un conjunto muy estricto de políticas de seguridad que se comparten de manera transparente con todos los empleados que tienen acceso. |
| Capacitación | Todos nuestros empleados deben asistir a una Capacitación Anual de Concienciación sobre Seguridad y todos los ingenieros reciben una Capacitación Anual de Codificación Segura. |
| Verificación de empleados | |
|---|---|
| Verificación de Antecedentes | Todos los nuevos empleados son verificados cuidadosamente durante el proceso de selección. |
| Acuerdos de Confidencialidad | Los empleados recién contratados deben firmar un acuerdo de No Divulgación y Confidencialidad. |