Política de seguridad
Última modificación: 4 de julio de 2023
Electrotechnik Pty Ltd ("ELEK") se compromete a proporcionar a sus clientes de software protección contra las ciberamenazas, evitando la pérdida de datos y cumpliendo los requisitos de conformidad.
Hemos adoptado los principios de la norma ISO/IEC 27001, que es la norma más conocida del mundo para los sistemas de gestión de la seguridad de la información (SGSI). Gracias a este enfoque, podemos gestionar los riesgos relacionados con la seguridad de los datos que posee y maneja nuestra empresa, al tiempo que nos aseguramos de adoptar las mejores prácticas y principios para evitar posibles impactos negativos debidos a la ciberdelincuencia y a las nuevas amenazas que surgen constantemente.
Cómo garantizamos la seguridad de la información
Estamos comprometidos con la seguridad de la información para garantizar la existencia de sistemas y controles rigurosos que mantengan la seguridad de la información para nuestra empresa y nuestros clientes. Empezamos con la incorporación de nuestro personal, que incluye procesos y políticas de empresa que subrayan la importancia de garantizar la confidencialidad de todos los datos de los usuarios y que el acceso a dichos datos se realice únicamente para llevar a cabo tareas relacionadas con su trabajo, incluida la prestación de servicios a nuestros usuarios. Nuestra Política de Seguridad de la Información también establece la importancia de mantener la confidencialidad de todos los datos de los usuarios y los mecanismos adecuados de eliminación de cualquier dato personal almacenado o impreso localmente.
Nuestros empleados se comprometen a mantener la confidencialidad y la seguridad de la información como parte de sus contratos de trabajo y realizan cursos de concienciación sobre ciberseguridad, con actualizaciones periódicas.
Además del proceso, la política y la formación de ELEK, tenemos puntos de entrada estrictos para acceder a los sistemas que contienen datos sensibles de los usuarios. Refiérase a nuestra Política de Privacidad para más información.
Gestión de identidades y accesos
Utilizamos Microsoft como proveedor de identidad empresarial y aplicamos políticas de contraseñas de alta seguridad. Todos los empleados deben utilizar la autenticación de dos factores (2FA) para iniciar sesión.
El acceso a nuestros servicios en la nube en Amazon Web Services (AWS) se concede con AWS Identity and Access Management (IAM) basado en el rol con los principios de necesidad de conocer y mínimo privilegio.
Trimestralmente se lleva a cabo una revisión del acceso de los usuarios, en la que se suprimen los accesos que ya no son necesarios. Cuando los empleados cesan en su empleo, se revoca inmediatamente todo acceso a los sistemas.
Protección del correo electrónico
Utilizamos Microsoft 365 como proveedor de correo electrónico de nuestro personal, Amazon Simple Email Service (SES) para enviar correos electrónicos desde dentro de nuestra aplicación y el sistema de tickets de correo electrónico para enviar correos electrónicos de atención al cliente. Nuestros dominios de correo electrónico cuentan con DMARC y SPF.
Los empleados reciben continuamente información e instrucciones sobre las mejores prácticas para evitar el phishing.
Seguridad de la red
Las estaciones de trabajo de nuestro personal se encuentran en una red de área local virtual (VLAN) exclusiva para uso exclusivo de nuestro personal.
Acceso a los datos de los usuarios
Tratamos todos los datos que los usuarios envían a cualquiera de nuestros servicios de software, que son procesados por nosotros exclusivamente en nombre del usuario, como una "caja negra". Esto significa que, por lo general, no se accede a los datos de los usuarios para la prestación del servicio, y que manejamos todos los datos enviados por los usuarios con el máximo nivel de seguridad y los tratamos con sensibilidad y confidencialidad.
El acceso a los datos del usuario por parte de nuestro personal está limitado de acuerdo con nuestras Condiciones de uso o el acuerdo respectivo con el usuario, caso por caso.
Gestión de vulnerabilidades
Realizamos periódicamente auditorías de seguridad de nuestro sitio web y de nuestra base de código de software para encontrar y corregir vulnerabilidades conocidas en las dependencias que podrían causar pérdidas de datos, cortes del servicio, acceso no autorizado a información sensible u otros problemas de seguridad. Todas las vulnerabilidades detectadas se registran en un archivo de desarrollo y se clasifican en función de nuestra evaluación de su impacto en la confidencialidad, integridad y disponibilidad del servicio y de los datos de los usuarios. Nuestros ingenieros llevan a cabo cualquier corrección de acuerdo con nuestra política interna de gestión de parches.
Ciclo de vida del desarrollo de software
Utilizamos productos de seguimiento de incidencias con un flujo de trabajo bien documentado que incluye un proceso de revisión por pares. Nuestro código fuente está protegido en repositorios privados de alta seguridad para el control de versiones y la seguridad. Los cambios en nuestro código base se someten a una serie de pruebas automatizadas y manuales (con planes detallados). Los cambios en el código que se aprueban se envían primero a un servidor en el que nuestros empleados pueden probar los cambios antes de enviarlos a los servidores de producción y a nuestra base de usuarios. Nuestro proceso de Integración Continua / Despliegue Continuo (CI/CD) está restringido con un proceso de aprobación integrado.
Respuesta a incidentes
Nos tomamos muy en serio la gestión de incidentes y contamos con un Procedimiento de Respuesta a Incidentes que describe cómo se gestionan los incidentes. Un incidente se define como un acontecimiento imprevisto, como una filtración de datos, la interrupción de un servicio o la reducción de la calidad de un servicio. Un incidente también es un problema que se ha planteado cuando el servicio funcionaba anteriormente y ahora no funciona como se esperaba. El procedimiento describe cómo valoramos, contenemos, evaluamos, notificamos, revisamos y supervisamos los incidentes.
Todos los incidentes se registran en el Registro de Respuesta a Incidentes y lo aprendido de ellos se utiliza para mejorar nuestros procesos, procedimientos, sistemas y herramientas como parte de nuestro compromiso con la mejora continua.
Recuperación en caso de catástrofe y continuidad de la actividad
Mantenemos un Plan de Continuidad de Negocio para hacer frente a desastres que afecten a nuestra oficina física (donde no se conserva ninguna parte de nuestra infraestructura de producción).
Además, mantenemos un Plan de Recuperación de Desastres (DRP) para hacer frente a los desastres que afectan a nuestro entorno de producción, que fueron evaluados como eventos críticos no planificados como parte del proceso de Respuesta a Incidentes, que incluye la restauración de la funcionalidad central del servicio desde otra ubicación. Nuestro centro de datos principal está alojado en AWS en Sídney (Australia), con redundancia en la misma región de AWS. En caso de pérdida de un único centro de datos de AWS, los procedimientos de recuperación pondrían en marcha nodos en otro centro de datos sin intervención humana. Las pruebas se realizan al menos una vez al año. Nuestra prueba de RD puede consistir en un recorrido, un simulacro de desastre o una prueba de componentes.
Conservación y eliminación de datos
Conservación de datos
Conservamos información limitada sobre usted que únicamente controlamos con la finalidad y durante el período necesarios para cumplir los fines descritos en nuestra Política de Privacidad. Los datos que nuestros sistemas conservan en nombre de nuestros usuarios se conservarán de conformidad con nuestra Política de Condiciones de Uso y otros acuerdos comerciales con dichos clientes.
Ofrecemos productos de software basados en la nube e instalados de forma nativa en PC. Con nuestros productos de software basados en la nube, los datos del cliente se almacenan en nuestros sistemas seguros basados en la nube (descritos en el presente documento). Por otro lado, con nuestros productos de software basados en PC, los datos del cliente se almacenan localmente en su infraestructura informática.
Eliminación de datos
Nuestros clientes conservan el control total de los datos que envían, y pueden modificarlos, exportarlos o borrarlos siempre, ya sea utilizando los medios disponibles a través de nuestro software o poniéndose en contacto con nosotros.
Tras la cancelación de una cuenta, los usuarios pueden solicitar la eliminación de sus datos como parte del procedimiento de cierre de la cuenta. Los datos del usuario se eliminarán en un plazo de 90 días a partir de la solicitud, que incluye un periodo de 30 días para permitir la reversión y otros 60 días para proceder al proceso de eliminación.
Alternativamente, los usuarios pueden optar por mantener los datos de la cuenta en la plataforma, en cuyo caso podemos seguir conservándolos, pero también podemos eliminarlos en cualquier momento a nuestra discreción.
Destrucción de datos
Nuestros servicios en la nube están alojados en AWS, que implementa estrategias seguras de distribución y eliminación de datos para permitir el almacenamiento seguro de datos confidenciales en un entorno multiusuario. El desmantelamiento de los medios de almacenamiento lo realiza AWS de acuerdo con NIST 800-88.
Supervisión
Recopilamos y monitorizamos logs de red mediante logs de tráfico de ubicaciones de borde y balanceadores de carga, logs a nivel de aplicación para rastrear y auditar eventos, y logs a nivel de sistema para auditar el acceso y las operaciones con privilegios elevados. Todos los logs se almacenan de forma segura en Amazon S3 o Amazon CloudWatch y se conservan.
Supervisamos la utilización de la capacidad de los recursos de infraestructura para garantizar que la prestación de servicios se ajusta a los acuerdos de nivel de servicio. Además:
- Los servicios de Amazon se utilizan para activar la mensajería automatizada basada en eventos para alertas de infraestructuras críticas.
- Utilizamos un servicio propio de registro y seguimiento de errores con mensajería automatizada basada en eventos para las alertas de las aplicaciones.
Privacidad
Consulte nuestra Política de privacidad.
Seguridad en la oficina
El acceso a nuestras oficinas y ascensores está restringido mediante tarjetas de acceso. La seguridad del edificio dispone de varios procedimientos para controlar rutinariamente el acceso al edificio y a las plantas. El sistema de seguridad integrado en cada planta hace un seguimiento del uso de las puertas, y puede obtenerse un informe de acceso de la seguridad del edificio. Los mostradores están vigilados por cámaras de seguridad las 24 horas del día y hay guardias de seguridad itinerantes por todo el recinto. Las grabaciones de vídeo se almacenan y conservan durante 18 meses. El Director Comercial es responsable de poner al día al Equipo de Gestión del Edificio de cualquier cambio en los empleados para obtener o revocar el acceso a una tarjeta de acceso al edificio.
Seguridad de los centros de datos
Confiamos en los controles del centro de datos de AWS, como la selección del sitio, la redundancia, la disponibilidad y la planificación de la capacidad, para mantener un nivel adecuado de seguridad. No alojamos ningún servidor propio.
Actualizaciones políticas
Esta Política puede cambiar de vez en cuando y está disponible en nuestro sitio web www.elek.com.
Póngase en contacto con nosotros
Si desea más información o ponerse en contacto con nosotros, visite nuestra página de contacto.
