Seguridad sin concesiones para sus necesidades de cumplimiento de normativas

Seguridad

Almacenamiento de datos

Almacenamiento físico

AWS (Amazon Web Services) se encarga de la seguridad física de la infraestructura. AWS está diseñado no solo para permitir soluciones en la nube realmente escalables, sino también para satisfacer las más altas expectativas de seguridad.

Los datos se almacenan en servidores de una instalación que está ISO 27001, ISO 27017, ISO 27018 y SOC 1, SOC 2 y SOC 3 , -certificada. Para obtener una visión completa de los programas de cumplimiento, haga clic aquí

Ubicación

Todos los datos y backups se almacenan con AWS en Frankfurt. Las copias de seguridad se almacenan en diferentes zonas de disponibilidad para garantizar la disponibilidad de los datos.

Conozca la capa perimetral de los centros de datos, la capa de infraestructura, la capa de datos y la capa medioambiental, haga clic aquí

Encriptación

Todos los datos se encriptan en tránsito y en reposo. Esto garantiza la integridad de los datos, ya que no pueden corromperse ni modificarse durante la transferencia; la privacidad, ya que no pueden ser interceptados por terceros; y la autenticación, ya que el cliente final puede estar seguro de que el sitio al que se conecta es realmente el nuestro.

En tránsito

Los datos en tránsito se cifran mediante TLS (Transport layer security). Sólo se admiten versiones de TLS iguales o superiores a 1.2, todas las demás versiones están bloqueadas.

En reposo

Siempre que se almacenan datos en un disco duro, por ejemplo, datos almacenados en una base de datos, se encriptan mediante AES (256 bits). Esto impide la lectura de datos en caso de robo de un disco duro físico en un centro de datos.

Gestión de parches

En Formalize, priorizamos la seguridad y la alta disponibilidad aprovechando los servicios administrados por AWS siempre que sea posible. Estos servicios se someten a parches y mantenimiento continuos por parte de AWS. Sin embargo, para determinados servicios no administrados por AWS, implementamos estrictos procesos de administración de parches para garantizar que la seguridad permanezca intacta.

Copia de seguridad de datos

Frecuencia de las copias de seguridad

Se realizan copias de seguridad periódicas para garantizar que no se pierdan los datos de los clientes. Las copias de seguridad se realizan en intervalos diarios (las copias de seguridad caducan a los 35 días) y semanales (las copias de seguridad caducan a los 85 días).

En el caso de los servicios no administrados por AWS, como nuestra Jump Box, los parches se analizan y aplican a diario. Además, nuestra Jump Box está protegida en una red privada que requiere autenticación de dos factores para el acceso y registra todas las conexiones para una mejor monitorización.

Algunos servicios, como nuestros Servicios Web, son gestionados conjuntamente por AWS y Formalize. Estos se escanean y parchean continuamente para mantener la seguridad y el rendimiento.

Seguridad de las copias de seguridad

Todas las copias de seguridad se almacenan en diferentes zonas de disponibilidad para evitar la pérdida de datos. Una zona de disponibilidad es uno o más centros de datos separados con alimentación, redes y conectividad redundantes. Todas las copias de seguridad están protegidas con los mismos estándares que el entorno de producción.

Registro

Formalize se toma el registro muy en serio y tiene un registro extensivo en toda nuestra aplicación, estamos continuamente mejorando nuestro registro. El registro se realiza en cuatro niveles diferentes: eventos de inicio de sesión, etc., errores de validación, registro de errores, registros de flujo DNS, etc.

Monitoreo de sistemas y detección de intrusiones

Utilizamos AWS GuardDuty, un servicio inteligente de detección de amenazas que monitoriza continuamente la actividad maliciosa o no autorizada en nuestra red. Actúa como nuestro principal sistema de detección de intrusiones en la red (NIDS). La actividad de administración y los registros de consultas DNS también se registran y analizan para detectar posibles usos indebidos. Más información sobre GuardDuty aquí.

Para mejorar nuestras defensas, utilizamos AWS WAF. Este servicio ayuda a monitorear y frustrar las solicitudes web maliciosas, ofreciendo una capa adicional de protección contra los intentos de piratería informática. Para más información haga clic aquí.

Ciclo de vida del desarrollo seguro

Un ciclo de vida de desarrollo seguro (SDLC) es un proceso que nos ayuda a garantizar que la seguridad se incorpora al software desde el principio. Nuestro SDLC incluye varias actividades de seguridad que se realizan en cada fase de nuestro proceso de desarrollo. Estas actividades nos ayudan a encontrar y corregir posibles vulnerabilidades de seguridad y a evitar que se introduzcan otras nuevas.

Se llevan a cabo varias actividades clave del ciclo de vida, como la creación y publicación en pequeños incrementos, la deuda técnica, la política de paquetes de terceros, la búsqueda de secretos filtrados, el control de versiones, la comprobación de vulnerabilidades, los estándares de criptografía, las métricas y el registro, la formación de desarrolladores, las pruebas y la separación de entornos.

Gestión de vulnerabilidades

En Formalize, nos tomamos muy en serio la seguridad empleando sólidas prácticas de gestión de vulnerabilidades para proteger nuestra infraestructura y mejorar continuamente.

Prevención de vulnerabilidades

Para minimizar nuestra superficie de ataque, mantenemos un único punto de entrada público a nuestra API, que está protegido por un cortafuegos de aplicaciones web (WAF). Este cortafuegos bloquea eficazmente amenazas comunes como el Cross-Site Scripting (XSS) y la ejecución remota de código (RCE). Nuestra infraestructura se basa en Alpine Linux, lo que proporciona una huella mínima y segura del sistema operativo. Además, nuestros servidores web están diseñados para funcionar como contenedores de sólo lectura que se actualizan cada 15 minutos o durante las implantaciones, lo que garantiza que el malware no pueda persistir en nuestro entorno.

Además de estas medidas preventivas, confiamos en los servicios gestionados para mejorar la seguridad y reducir el riesgo de errores de configuración. Estos servicios gestionados proporcionan parches automáticos, lo que refuerza aún más la integridad de nuestra infraestructura. El acceso a las bases de datos está estrictamente controlado, se requiere una autenticación de dos factores (2FA) y se limita exclusivamente a los usuarios autorizados de nuestra red.

Análisis de vulnerabilidades

En Formalize, empleamos prácticas integrales de análisis de vulnerabilidades para identificar y abordar de forma proactiva los posibles riesgos de seguridad en todos nuestros sistemas. Nuestros esfuerzos de escaneado abarcan dependencias de código, contenedores y servidores, así como nuestra infraestructura y red más amplias.

Diariamente se realizan análisis de vulnerabilidad de las dependencias de código. Para ello se utilizan cuatro herramientas diferentes: CVE públicas, base de datos privada de vulnerabilidades, dependencia de código abierto con XSS (Cross-site scripting) y dependencia de código abierto con RCS (Remote code execution).

Los escaneos de contenedores y servidores se realizan de forma continua y siempre que se codifica. Estas exploraciones se centran en la detección de vulnerabilidades en los paquetes del sistema operativo dentro de nuestro entorno basado en Alpine Linux. Para las exploraciones se utilizan bases de datos de vulnerabilidades públicas y privadas. Por ejemplo, pueden identificar versiones obsoletas de OpenSSL que podrían plantear riesgos de desbordamiento de búfer o RCE (ejecución remota de código).

Nuestras exploraciones de la infraestructura y la red se producen cada 18 horas y cumplen normas rigurosas, como los requisitos del CIS (Centro de Seguridad de Internet), la norma PCI DSS v3.2.1 (Payment Card Industry Data Security Standard) y las mejores prácticas de seguridad fundamentales de nuestro proveedor de alojamiento. Estos escaneos están diseñados para identificar errores de configuración, como colas sin cifrar o la ausencia de autenticación de dos factores para los usuarios administrativos.