Medidas técnicas y organizativas

Visión general
Redzone se compromete a proteger la información de sus datos. Esta página detalla las medidas que Redzone emplea para proteger los datos de los clientes. Esta página está destinada a proporcionar información técnica y organizativa general, así como la información requerida por el artículo 32 del Reglamento General de Protección de Datos (GDPR) u otras leyes aplicables.

Entorno de hospedaje
Los servicios de software de Redzone no tienen servidor y se alojan en Amazon Web Services («AWS») basados en la nube. Los servicios de software son compatibles con la infraestructura redundante del centro de datos de Amazon. La infraestructura virtual de AWS está diseñada para proporcionar una «alta disponibilidad» óptima y, al mismo tiempo, garantizar la total privacidad y segregación de los clientes y minimizar el impacto de las interrupciones en las operaciones. La infraestructura está diseñada y gestionada de acuerdo con las normativas, estándares y mejores prácticas líderes del sector, incluidos SOC 1/SSAE 16, SOC 2, SOC 3, HIPAA, ISO 27001 y otros.
Los centros de datos de AWS están ubicados geográficamente en EE. UU. y el resto del mundo en «zonas de disponibilidad» para proporcionar redundancia de infraestructura de manera estratégica en caso de fallo o catástrofe.

Infraestructura
Acceso físico
Redzone es un entorno completamente alojado en la nube. No utilizamos enrutadores, balanceadores de carga, servidores DNS o físicos. Puede encontrar nuestra lista de proveedores de nube en nuestra página de lista de subprocesadores del sitio web de Redzone.

Infraestructura como código
Redzone audita, prueba y revisa por pares cualquier cambio en nuestro código. Esto proporciona un proceso seguro y automatizado para cualquier cambio aplicado. Redzone usa los repositorios de GitHub para administrar todo el código fuente. Para controlar el acceso a los repositorios de código de Redzone, el acceso se habilita mediante una solución de SSO centralizada. Las políticas organizacionales de GitHub también están habilitadas y requieren que los ingenieros usen la autenticación de dos factores.

Administración del sistema
Redzone utiliza AWS para aprovechar un servicio totalmente gestionado y basado en la nube para la aplicación Redzone. Analizamos activamente las vulnerabilidades de seguridad y configuración mediante un EDR. Si se encuentra algún problema, se corrige de acuerdo con los riesgos presentados.

Seguridad de aplicaciones
Desarrollo seguro de software
Redzone utiliza pruebas automatizadas y revisiones por pares para garantizar que nuestro software se desarrolle de forma coherente y segura.

Revisiones de código
Los cambios en el código de Redzone son revisados por pares. Luego, el código se prueba en un entorno de desarrollo. Por último, Apple revisa la solicitud del inquilino para comprobar que cumple con sus requisitos antes de ser aceptada y publicada en la App Store.

Protecciones de inicio de sesión del usuario final
Protegemos a nuestros usuarios finales contra los ataques mediante el uso de EDR en combinación con servicios SOC de terceros. Toda la información se cifra en reposo y en tránsito según las mejores prácticas de la industria.

Pruebas de penetración
Redzone trabaja con una organización independiente para realizar pruebas de penetración anuales. También utilizamos un programa de recompensas por errores durante todo el año para asegurarnos de que estamos evaluando la seguridad de nuestra plataforma contra las vulnerabilidades más actualizadas. Si los encuentra, el equipo prioriza y trabaja con rapidez para mitigar los posibles problemas identificados en estas revisiones.

Cifrado y transferencia de datos
Redzone cifra todos los datos tanto en reposo como en tránsito. Cualquier comunicación de red externa utiliza el cifrado TLS en tránsito. También utilizamos las herramientas de cifrado de nuestro proveedor de almacenamiento de datos en la nube para cifrar los datos en reposo.

Monitorización
Toda la actividad en los sistemas de Redzone se registra y monitorea. También capturamos y almacenamos los registros del código de la aplicación y los sistemas de proveedores con los que trabajamos. Una vez capturados, los registros internos y externos se revisan mediante software y un SOC las 24 horas del día, los 7 días de la semana, para detectar cualquier actividad inusual.

Seguridad operacional
Equipo de seguridad
Redzone mantiene un equipo de seguridad de la información para cualquier inquietud en la empresa. Los representantes de los diferentes departamentos de la empresa participan en las discusiones sobre cuestiones de seguridad y cumplimiento, mientras que los participantes ejecutivos toman las decisiones de alto nivel necesarias. El dedicado equipo de seguridad interna de Redzone cuenta con el respaldo de un SOC las 24 horas del día, los 7 días de la semana. Nuestro equipo de seguridad interna trabaja en toda la empresa para mantener estándares de seguridad estrictos.

Personas y procesos
Todos los empleados y contratistas de Redzone deben cumplir con las políticas y prácticas de seguridad internas. Nuestras políticas y procedimientos están diseñados para garantizar el cumplimiento de las mejores prácticas legales y de seguridad. Revisamos estas políticas al menos una vez al año para asegurarnos de que estamos al día.

Acceso de los empleados a los datos
Redzone restringe el acceso a sus sistemas e infraestructuras con el principio de mínimo privilegio. Esto se revisa como mínimo una vez al año y el acceso se elimina cuando el personal ya no lo necesita.

Contraseñas y autenticación
Redzone aplica una política de contraseñas y autenticación multifactor para proteger los sistemas confidenciales.

Continuidad empresarial y recuperación ante desastres
Redzone tiene planes de continuidad empresarial y recuperación ante desastres. Redzone mantiene copias de seguridad diarias de todos los datos. La copia de seguridad validada más reciente se mantendrá fuera de la infraestructura de Amazon Web Services («AWS»). Redzone también implementa una estrategia de respaldo continuo en AWS que permite la recuperación puntual en cualquier momento de los últimos treinta (30) días (excluyendo la hora más reciente). Además de sus prácticas de respaldo rutinarias, Redzone también replica los datos en vivo en al menos dos (2) zonas de disponibilidad de AWS para que siempre haya una copia completa en vivo de todos los datos en tiempo real.

Cumplimiento
Visión general
Redzone se compromete a proteger la información de los clientes. Contamos con la certificación SOC-2 tipo II y utilizamos los controles de seguridad presentes en el marco ISO27001. Nuestros proveedores de alojamiento cloud cumplen con las normas SOC e ISO.

Notificación de violación de datos personales
Redzone cumple con el GDPR y los requisitos estatales aplicables de EE. UU. para la notificación de violaciones de datos personales. En caso de una violación de datos personales, Redzone tomará medidas para investigar, abordar y mitigar la violación de acuerdo con los estándares de «incidente de seguridad» de nuestro Anexo de procesamiento de datos. Redzone notificará a los clientes afectados sobre una infracción personal dentro de los plazos exigidos por la ley y de conformidad con el Anexo de procesamiento de datos. No es necesaria la notificación de un incidente que no dé lugar a un acceso no autorizado a datos personales o a los equipos de Redzone que almacenan datos personales.

Póngase en contacto con nosotros
Si tiene alguna pregunta o inquietud, no dude en ponerse en contacto con nosotros en:
support@rzsoftware.com