Seguridad y Cumplimiento

Q: ¿Qué certificaciones de seguridad tiene Redzone?

Redzone cuenta con la certificación SOC-2 de tipo II y utiliza los controles de seguridad presentes en el marco ISO27001. Nuestros proveedores de alojamiento cloud cumplen con las normas SOC e ISO.

Q: ¿Redzone cumple con el RGPD?

Sí, Redzone cumple con el GDPR y con los requisitos estatales aplicables de EE. UU. para la notificación de violaciones de datos personales. En caso de una violación de datos personales, Redzone tomará medidas para investigar, abordar y mitigar la violación de acuerdo con los estándares de incidentes de seguridad de nuestro Anexo de procesamiento de datos.

Redzone se compromete a proteger la información de los clientes. Contamos con la certificación SOC-2 tipo II y utilizamos los controles de seguridad presentes en el marco ISO27001. Nuestros proveedores de alojamiento cloud cumplen con las normas SOC e ISO.

Redzone cumple con el GDPR y los requisitos estatales aplicables de EE. UU. para la notificación de violaciones de datos personales. En caso de una violación de datos personales, Redzone tomará medidas para investigar, abordar y mitigar la violación de acuerdo con los estándares de «incidente de seguridad» de nuestro Anexo de procesamiento de datos. Redzone notificará a los clientes afectados sobre una infracción personal dentro de los plazos exigidos por la ley y de conformidad con el Anexo de procesamiento de datos. No es necesaria la notificación de un incidente que no dé lugar a un acceso no autorizado a datos personales o a los equipos de Redzone que almacenan datos personales.

Seguridad de aplicaciones

Redzone utiliza pruebas automatizadas y revisiones por pares para garantizar que nuestro software se desarrolle de forma coherente y segura. Redzone mantiene una mentalidad de «cambiar a la izquierda» descrita en un ciclo de vida de desarrollo de software que puede estar disponible a pedido. Los controles inherentes reducen el riesgo de la creación de scripts entre sitios, la inyección de SQL y las mejores prácticas para la seguridad de las API.

Los entornos de desarrollo y ensayo están separados de forma lógica de los de producción. Los entornos de clientes nunca se utilizan en entornos de desarrollo o ensayo.

Se requiere una formación anual sobre código seguro para todos los ingenieros de software. La capacitación se centra en los 10 principales riesgos de seguridad de OWASP.

Para garantizar que las vulnerabilidades de seguridad en el software de Redzone se identifiquen y corrijan continuamente, Redzone ha integrado la validación de seguridad en nuestros flujos de trabajo de integración continua. La integración en CI garantiza que todo el código se escanee continuamente en busca de vulnerabilidades de seguridad antes de la aceptación del código. Como este proceso ocurre de forma continua, se pueden identificar vulnerabilidades nuevas y existentes. Antes de la fusión, el sistema Redzone CI comprobará el código y ejecutará nuestro conjunto estándar de pruebas.

Redzone trabaja con una organización independiente para realizar pruebas de penetración anuales. También utilizamos un programa de recompensas por errores durante todo el año para asegurarnos de que estamos evaluando la seguridad de nuestra plataforma contra las vulnerabilidades más actualizadas. Si los encuentra, el equipo prioriza y trabaja con rapidez para mitigar los posibles problemas identificados en estas revisiones.

Redzone cifra todos los datos tanto en reposo como en tránsito. Cualquier comunicación de red externa utiliza el cifrado HTTPS/TLS 1.2 o superior en tránsito. Los datos en reposo se cifran mediante el cifrado de clave AES-256. Las contraseñas se cifran en un solo sentido con varias rondas de sal.

Toda la actividad crítica en Redzone se registra y monitorea para detectar un comportamiento anómalo. También capturamos y almacenamos los registros del código de la aplicación y los sistemas de proveedores con los que trabajamos. Una vez capturados, los registros internos y externos se revisan mediante software y un SOC las 24 horas del día, los 7 días de la semana, para detectar cualquier actividad inusual.

Seguridad operacional

Redzone mantiene un Consejo de Seguridad de la Información para cualquier inquietud en la empresa. Los representantes de los diferentes departamentos de la empresa participan en las discusiones sobre cuestiones de seguridad y cumplimiento, mientras que los participantes ejecutivos toman las decisiones de alto nivel necesarias. El dedicado equipo de seguridad interna de Redzone cuenta con el respaldo de un SOC las 24 horas del día, los 7 días de la semana. Nuestro equipo de seguridad interna trabaja en toda la empresa para mantener estándares de seguridad estrictos.

Todos los empleados y contratistas de Redzone deben cumplir con las políticas y prácticas de seguridad internas. Nuestras políticas y procedimientos están diseñados para garantizar el cumplimiento de las mejores prácticas legales y de seguridad. Revisamos estas políticas anualmente para asegurarnos de que estamos al día. Todos los empleados deben asistir a una capacitación de seguridad individual y a actualizaciones anuales de capacitación en seguridad.

Redzone restringe el acceso a sus sistemas e infraestructuras con el principio de mínimo privilegio. Esto se revisa como mínimo una vez al año y el acceso se elimina cuando el personal ya no lo necesita.

Redzone aplica una política de contraseñas y autenticación multifactor para proteger los sistemas confidenciales. Redzone proporciona a todos los empleados un administrador de contraseñas de nivel empresarial y realiza auditorías anuales para detectar contraseñas complejas almacenadas correctamente en una bóveda.

Redzone tiene planes de continuidad empresarial y recuperación ante desastres. Redzone mantiene copias de seguridad diarias de todos los datos. La copia de seguridad validada más reciente se mantendrá fuera de la infraestructura de Amazon Web Services («AWS»). Redzone también implementa una estrategia de respaldo continuo en AWS que permite la recuperación puntual en cualquier momento de los últimos treinta (30) días (excluyendo la hora más reciente). Además de sus prácticas de respaldo rutinarias, Redzone también replica los datos en vivo en al menos tres (3) zonas de disponibilidad de AWS para que siempre haya una copia completa en vivo de todos los datos en tiempo real.

Redzone organiza eventos regulares del Equipo Rojo para mantenerse a la ofensiva ante las amenazas de seguridad. Esto incluye la eliminación aleatoria del acceso, los intentos internos de spear phishing, las campañas de suplantación de identidad y el uso de herramientas como Atomic Red Team.

Seguridad del producto

La aplicación Redzone admite dos opciones de autenticación: SSO empresarial (SAML 2.0) y autenticación Redzone nativa.

Redzone permite un tiempo de caducidad de contraseña configurable, para cumplir con 21 CFR Parte 11.

Hay varios niveles de permisos de administrador distintos dentro de la aplicación Redzone Admin. Esto permite que los administradores tengan acceso para administrar solo los datos y la configuración específicos relacionados con su función. Puede encontrar más información en la sección Seguridad de la base de conocimientos de Redzone.

La administración de dispositivos móviles (MDM) es el proceso de proteger los datos corporativos mediante la supervisión, la administración y la protección de dispositivos como computadoras portátiles, teléfonos inteligentes y tabletas. La aplicación Redzone permite a los equipos de TI controlar y distribuir políticas, aplicaciones y configuraciones seguras en los dispositivos. Si lo solicita, puede obtener más información sobre las mejores prácticas y los requisitos mínimos de acceso.

El DNS confiable o los rangos de direcciones IP específicos para el entorno de nube de Redzone están disponibles a pedido.