CENTRO DE CONFIANZA Y SEGURIDAD
Última actualización: 1 de Julio de 2024
En Logical Commander Software Ltd, tomamos la privacidad, la seguridad, la transparencia y el cumplimiento muy en serio. Sabemos que nuestros clientes depositan una inmensa confianza en nosotros y en nuestros productos de software. Este Centro de Confianza de Logical Commander proporciona una fuente central de información sobre nuestras prácticas, políticas y procedimientos en estas áreas clave.
Como empresa de software, la seguridad es la base de todo lo que hacemos. Invertimos fuertemente en asegurar tanto nuestros productos de software como nuestros sistemas internos. Nuestro modelo y controles de seguridad se basan en estándares internacionales y mejores prácticas de la industria, como ISO 27001, ISO 27018 y OWASP Top 10.
Seguridad de la Infraestructura
-
Alojamos nuestros sistemas en múltiples Zonas de Disponibilidad en Amazon Web Services (AWS) permitiéndonos proporcionar un servicio confiable y mantener sus datos disponibles siempre que los necesite. Otra región de AWS está configurada como sitio de recuperación ante desastres.
-
Los centros de datos de AWS implementan medidas de seguridad físicas y ambientales para garantizar una infraestructura altamente resiliente. Para más información sobre sus prácticas de seguridad, consulte AWS Security.
-
Nuestra infraestructura utiliza Virtual Private Cloud (VPC) para aislar y segmentar los entornos de los clientes, y listas de control de acceso a la red / grupos de seguridad para controlar el tráfico entrante y saliente a nivel de subred e instancia.
-
Nuestro sitio web está protegido y monitorizado por la solución de sucuri.net contra eliminación de malware y hacks, firewall de aplicaciones web (WAF), monitoreo y eliminación de listas negras, soporte y monitoreo de SSL, detención de ataques DDoS de capas 3, 4, 7, protección de firewall, alta disponibilidad/balanceo de carga.
-
Todo acceso a los servidores se autentica contra nuestro Proveedor de Identidad (IdP), está completamente auditado y cuenta con un mecanismo de Autenticación Multifactor (MFA).
-
Se utiliza un modelo de Control de Acceso Basado en Roles (RBAC) para garantizar permisos apropiados, basados en el principio de privilegio mínimo.
-
El acceso a los activos de producción se otorga según el rol y de acuerdo con los principios de necesidad de saber y privilegio mínimo.
-
Se utiliza una arquitectura de microservicios y nuestras aplicaciones están completamente contenedorizadas, con Kubernetes usado para la orquestación, proporcionando alta escalabilidad y fiabilidad.
-
La infraestructura como código se utiliza ampliamente para garantizar la auditabilidad y mantenibilidad de los recursos de infraestructura.
-
Nuestras aplicaciones se desarrollan de acuerdo con el marco OWASP Top 10 y todo el código se revisa por pares antes de su implementación en producción.
-
Nuestros procesos de desarrollo y CI/CD incluyen gestión de licencias, verificaciones previas y posteriores a los commits, escaneo de secretos, análisis de código estático, escaneo de vulnerabilidades de dependencias de terceros, pruebas de extremo a extremo, pruebas unitarias y escaneo de código malicioso.
-
Las vulnerabilidades se clasifican según su nivel de riesgo y se mitigan según los plazos predefinidos.
-
Se realiza capacitación periódica en seguridad para mantener a nuestros equipos de I+D actualizados con las mejores prácticas y herramientas de desarrollo seguro.
-
Pruebas de Autenticación y Autorización
-
Validar que todas las autenticaciones, roles de usuario y controles de acceso funcionen de manera segura.
-
-
Pruebas de Gestión de Sesiones
-
Verificar problemas como fijación de sesión, secuestro, expiración y terminación.
-
-
Pruebas de Validación de Datos
-
Probar campos de entrada para prevenir ataques de inyección como inyección SQL, inyección XML y inyección de comandos. Validar datos de entrada para asegurar que cumplan con los formatos y estándares esperados.
-
-
Pruebas de Cifrado
-
Probar que se utilizan algoritmos y protocolos de cifrado para proteger datos sensibles en tránsito y en reposo.
-
Verificar que las claves de cifrado se gestionen y almacenen de manera segura.
-
-
Pruebas de Manejo y Registro de Errores
-
Evaluar cómo la aplicación maneja errores y excepciones para prevenir fugas de información.
-
Verificar que la información sensible no se registre ni se muestre en mensajes de error.
-
-
Pruebas de Configuración de Seguridad
-
Revisar las configuraciones del servidor y de la aplicación para las mejores prácticas de seguridad.
-
Asegurar que las configuraciones predeterminadas se cambien, los servicios innecesarios se deshabiliten y los parches de seguridad estén actualizados.
-
-
Pruebas de Seguridad de API
-
Probar las API para detectar vulnerabilidades como referencias directas inseguras a objetos, autenticación insuficiente y exposición excesiva de datos.
-
Verificar que las API impongan una correcta autorización y controles de acceso.
-
-
-
Los datos en tránsito se cifran utilizando TLS con un conjunto de cifrado moderno.
-
Los datos en reposo se cifran utilizando AES-256. Las claves de cifrado se gestionan en el Servicio de Gestión de Claves de AWS.
-
Las credenciales se hashean y salan utilizando una función de hash segura.
-
-
-
La tecnología de Detección y Respuesta de Endpoints (EDR) se despliega en todos los endpoints para garantizar una detección proactiva de amenazas y capacidades de respuesta rápida.
-
La solución EDR proporciona visibilidad en tiempo real de las actividades en nuestros endpoints, permitiendo una rápida detección y contención de comportamientos sospechosos o posibles brechas de seguridad.
-
La monitorización continua de endpoints por un Sistema de Gestión de Información y Eventos de Seguridad (SIEM) gestionado, junto con un Centro de Operaciones de Seguridad (SOC), garantiza una vigilancia constante contra amenazas cibernéticas y asegura que los incidentes de seguridad se identifiquen, investiguen y remedien rápidamente para minimizar el impacto y proteger datos sensibles.
-
La integración de EDR con la infraestructura gestionada de SIEM/SOC mejora la correlación de inteligencia de amenazas, permitiendo estrategias avanzadas de caza y mitigación de amenazas.
-
Con capacidades de monitorización y respuesta 24/7, defendemos proactivamente contra amenazas cibernéticas en evolución, proporcionando tranquilidad a nuestros stakeholders y clientes.
-
-
Auditorías de Seguridad y Pruebas de Penetración
-
Se realizan auditorías de seguridad anuales tanto a nivel de la aplicación como de la infraestructura.
-
Se realizan pruebas de penetración en la versión final antes del despliegue en el entorno de producción.
-
Pasamos por auditorías externas como parte de las certificaciones ISO y otras auditorías externas.
-
-
Recuperación de Desastres y Copias de Seguridad
-
Respaldamos los datos de los usuarios de manera constante cada X minutos.
-
Todas las copias de seguridad están cifradas y se distribuyen en varias ubicaciones.
-
Mantenemos un Plan de Recuperación de Desastres (DRP) para manejar desastres que afecten nuestro entorno de producción, que incluye la restauración de la funcionalidad central del servicio desde nuestra ubicación dedicada a DR.
-
Se realizan pruebas de DR al menos una vez al año. Las pruebas de DR pueden ser en forma de simulación, desastre simulado o pruebas de componentes.
-
-
-
Nuestro plan de respuesta a incidentes (IRP) establece pautas para detectar incidentes de seguridad y privacidad, escalarlos al personal relevante, comunicación (interna y externa), mitigación y análisis post-mortem.
-
Nuestro Equipo de Respuesta a Incidentes (IRT) está compuesto por representantes de Seguridad, I+D, Legal y, si es necesario, una firma externa de respuesta a incidentes.
-
-
Conciencia y Capacitación en Seguridad
-
Nuestros empleados reciben una capacitación exhaustiva en conciencia de seguridad de la información.
-
Además, se ofrece capacitación en seguridad de manera periódica.
-
La transparencia es la fuerza guía detrás de nuestros principios de seguridad y privacidad. Compartimos todas nuestras políticas con nuestros clientes para que siempre sepan cómo mantenemos su información segura y cumplimos con las leyes, estándares y regulaciones locales e internacionales.
-
Política de Seguridad de la Información
-
Política del Plan de Recuperación de Desastres
Estamos completamente comprometidos a proteger la privacidad de nuestros clientes, así como los datos sensibles de los empleados que nuestros productos recopilan y analizan. Algunos aspectos clave de nuestro programa de privacidad:
-
Recopilamos solo los datos mínimos necesarios de los empleados para que nuestro software funcione de manera efectiva.
-
Todos los datos de los empleados están cifrados en tránsito y en reposo. Utilizamos protocolos y técnicas de cifrado estándar de la industria.
-
El acceso a los datos de los empleados está limitado solo a aquellos ingenieros que los necesitan para el desarrollo, pruebas y solución de problemas.
-
Nuestra política de privacidad comunica claramente qué datos recopilamos, cómo se utilizan, cuánto tiempo se retienen, etc.
Cumplimiento y certificaciones
Cumplir con los requisitos legales, regulatorios y contractuales es vital para nuestro negocio.
-
Nuestros productos RISK-HR y EmoRisk permiten a los clientes cumplir con sus obligaciones de cumplimiento en el lugar de trabajo en torno a la evaluación y monitoreo de empleados.
-
Seguimos continuamente las leyes de privacidad y empleo en todas nuestras jurisdicciones operativas. Nuestros productos y políticas están diseñados para cumplir con ellas.
-
Nuestro programa de cumplimiento incluye auditorías, evaluaciones de riesgos y revisiones de políticas. Tenemos una responsabilidad clara para las actividades de cumplimiento.
-
Logical Commander sigue los estándares internacionales de la ISO (Organización Internacional de Normalización) y gestiona su seguridad de la información, servicios en la nube y privacidad de acuerdo con ellos.
Somos auditados por una tercera parte independiente anualmente y mantenemos los siguientes certificados:
ISO/IEC 27701:2019
Especifica requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de la Información de Privacidad.
Reportar un Error
Los investigadores de seguridad de todo el mundo pueden divulgar vulnerabilidades de seguridad recién descubiertas a nuestro Equipo de Seguridad (compliance@logicalcommander.com).