Seguridad

Visión general

CurbCutOS gestiona datos de clientes de todo el mundo. Somos conscientes de que nuestros clientes esperan que protejamos sus datos con los más altos estándares y nos comprometemos a proporcionarles un entorno altamente seguro y fiable. Nuestro modelo y nuestros controles de seguridad se basan en normas internacionales y en las mejores prácticas del sector, como OWASP Top 10.

¿Cómo protegemos sus datos?

Nuestros sistemas están alojados en varias zonas de disponibilidad de Amazon Web Services (AWS). Ofrecemos alojamiento en centros de datos de AWS en EE.UU., la UE y AUS. Esto nos permite ofrecer un servicio fiable y mantener sus datos disponibles siempre que los necesite. También hemos establecido un sitio de recuperación de desastres en otra región de AWS.

Este centro de datos emplea las principales medidas de seguridad física y medioambiental, lo que se traduce en una infraestructura altamente resistente. Para más información sobre sus prácticas de seguridad, véase más abajo:

Página de seguridad de AWS

Seguridad de las aplicaciones

CurbCutOS implementa un diseño orientado a la seguridad en múltiples capas, una de las cuales es la capa de aplicación. La aplicación CurbCutOS se desarrolla de acuerdo con el marco OWASP Top 10 y todo el código se revisa por pares antes de su despliegue en producción.

Nuestro proceso CI/CD controlado incluye análisis de código estático, evaluación de vulnerabilidades, pruebas de extremo a extremo, pruebas unitarias que abordan aspectos de autorización y mucho más. Los desarrolladores de CurbCutOS reciben formación periódica sobre seguridad para mantenerse al día de las mejores prácticas de desarrollo seguro.

Seguridad de las infraestructuras

Otra capa de seguridad es la infraestructura. Como ya hemos dicho, CurbCutOS está alojado en varias zonas de disponibilidad de AWS. Además, nuestra infraestructura está protegida utilizando múltiples capas de mecanismos de defensa, incluyendo:

  • Cortafuegos para aplicar listas blancas de IP y acceder sólo a los recursos de la red a través de los puertos permitidos.
  • Un cortafuegos de aplicaciones web (WAF) para bloquear ataques dinámicos basados en contenidos
  • Mitigación de DDoS y limitación de velocidad
  • Sensores NIDS para la detección precoz de ataques
  • Configuración avanzada de enrutamiento
  • Registro exhaustivo del tráfico de red, tanto interno como periférico

Cifrado de datos

CurbCutOS cifra todos los datos tanto en tránsito como en reposo:

  • El tráfico se cifra mediante TLS 1.3 con un conjunto de cifrado moderno, compatible con TLS 1.2 como mínimo.
  • Los datos de los usuarios se cifran en reposo en toda nuestra infraestructura utilizando AES-256 o superior.
  • Las credenciales se codifican con hash y sal mediante una función hash moderna.

Auditorías externas de seguridad y pruebas de penetración

Las evaluaciones independientes de terceros son cruciales para obtener una comprensión precisa e imparcial de su postura de seguridad. CurbCutOS realiza pruebas de penetración anuales tanto a nivel de aplicación como de infraestructura con auditores independientes de renombre.

Además, CurbCutOS se está sometiendo a auditorías externas como parte de la auditoría SOC2 Tipo II, las certificaciones ISO y otras auditorías externas.

Seguridad física

CurbCutOS es una solución basada en la nube, sin que ninguna parte de nuestra infraestructura se mantenga in situ. Nuestra seguridad física en las oficinas incluye control de acceso basado en identificación personal, CCTV y sistemas de alarma.

Los centros de datos de CurbCutOS están alojados en infraestructuras de Amazon Web Services y Google Cloud Platform, donde se emplean las principales medidas de seguridad física.

Recuperación en caso de catástrofe y copias de seguridad

CurbCutOS se compromete a proporcionar un servicio continuo e ininterrumpido a todos sus clientes. Realizamos sistemáticamente copias de seguridad de los datos de los usuarios cada 5 minutos. Todas las copias de seguridad se cifran y se distribuyen a varias ubicaciones.

Nuestro Plan de Recuperación ante Catástrofes se pone a prueba al menos dos veces al año para evaluar su eficacia y mantener a los equipos al tanto de sus responsabilidades en caso de interrupción del servicio.

Concienciación y formación en materia de seguridad

CurbCutOS es consciente de que su seguridad depende de sus empleados. Por ello, todos nuestros empleados reciben una formación exhaustiva sobre seguridad de la información durante su incorporación. Trimestralmente se imparte formación adicional sobre seguridad. Además, todos los empleados deben firmar nuestra Política de uso aceptable.

Control de acceso

Sabemos que los datos que subes a CurbCutOS son privados y confidenciales. Realizamos revisiones periódicas de los accesos de los usuarios para asegurarnos de que cuentan con los permisos adecuados, de acuerdo con el principio del menor privilegio. Los derechos de acceso de los empleados se modifican rápidamente cuando cambian de empleo.