Seguridad organizacional


Programa de seguridad de la información

Contamos con un programa de seguridad de la información, el cual se comunica a toda la organización y sigue los criterios establecidos por el marco ISO27001. ISO27001 es un marco de seguridad de la información ampliamente reconocido.

Auditorías externas

Nuestra organización se somete a evaluaciones externas independientes para probar nuestros controles de seguridad y de cumplimiento.

Pruebas de penetración externas

Realizamos una prueba de penetración externa independiente al menos una vez al año para garantizar la total seguridad de nuestros servicios.

Roles y responsabilidades

Los roles y responsabilidades relacionados con nuestro programa de seguridad de la información y la protección de los datos de nuestros clientes están bien definidos y documentados. Los miembros de nuestro equipo deben revisar y aceptar todas las políticas de seguridad.

Formación de concientización sobre la seguridad

Los miembros de nuestro equipo deben realizar una formación de concientización sobre la seguridad para empleados que cubre las prácticas estándar del sector, así como temas de seguridad de la información, como el phishing y la administración de contraseñas.

Confidencialidad

Todos los miembros del equipo deben firmar y aceptar un acuerdo de confidencialidad estándar del sector antes de su primer día de trabajo.

Verificación de antecedentes

Realizamos verificaciones de antecedentes de todos los nuevos miembros del equipo de acuerdo con la legislación local.


Seguridad en la nube


Seguridad de la infraestructura en la nube

Todos nuestros servicios están alojados con Amazon Web Services (AWS), que utiliza un sólido programa de seguridad con múltiples certificaciones. Para obtener más información sobre los procesos de seguridad de nuestro proveedor, visita Seguridad de AWS.

Seguridad del alojamiento de datos

Todos nuestros datos están alojados en las bases de datos de Amazon Web Services (AWS). Todas estas bases de datos están ubicadas en la UE. Para obtener más información, consulta la documentación específica del proveedor en el enlace indicado anteriormente.

Cifrado en reposo

Todas las bases de datos están cifradas en reposo.

Cifrado en tránsito

Nuestras aplicaciones cifran en tránsito solo con TLS/SSL.

Escaneo de vulnerabilidades

Realizamos escaneos de vulnerabilidades y monitorizamos activamente las amenazas.

Registro y monitorización

Monitorizamos y registramos activamente varios servicios en la nube.

Continuidad del negocio y recuperación ante desastres

Utilizamos los servicios de respaldo de nuestro proveedor de alojamiento de datos para reducir cualquier riesgo de pérdida de datos en caso de fallo del hardware. Utilizamos servicios de monitorización para alertar al equipo en caso de fallos que afecten a los usuarios.

Respuesta a incidentes

Contamos con un proceso para el manejo de eventos de seguridad de la información que incluye procedimientos de escalada, mitigación rápida y comunicación.



⁠Seguridad de acceso


Permisos y autenticación

El acceso a la infraestructura de la nube y a otras herramientas confidenciales está limitado a los empleados autorizados que lo requieran en función de su rol.

Donde esté disponible, contamos con inicio de sesión único (SSO), autenticación de dos factores (2FA) y políticas de contraseñas seguras para garantizar que el acceso a los servicios en la nube esté protegido.

Control de acceso de mínimo privilegio

Seguimos el principio de mínimo privilegio con respecto a la gestión de accesos e identidades.

Revisiones de acceso trimestrales

Realizamos revisiones de acceso trimestrales de todos los miembros del equipo con acceso a sistemas confidenciales.

Requisitos de contraseña

Todos los miembros del equipo deben cumplir con un conjunto mínimo de requisitos y complejidad de la contraseña para el acceso.

Administradores de contraseñas

Todos los ordenadores portátiles proporcionados por la empresa utilizan un administrador de contraseñas para que los miembros del equipo administren las contraseñas y mantengan la complejidad de las mismas.

Gestión de riesgos y proveedores


Evaluaciones anuales de riesgos

Nos sometemos al menos a evaluaciones de riesgos anuales para identificar cualquier amenaza potencial, incluidas las relativas al fraude.

Gestión de riesgos de proveedores

Antes de autorizar a un nuevo proveedor, se realizan las revisiones pertinentes para determinar el riesgo del mismo.

Contáctanos

Si tienes alguna pregunta, comentario o inquietud, o si deseas informar de un posible problema de seguridad, ponte en contacto con security@easytranslate.com.