La Seguridad es Nuestra Principal Prioridad

En Webpower, nuestra mayor preocupación es la protección de los datos de los clientes. Las brechas en la protección de datos son una amenaza cada día más fuerte, por eso, Webpower está tomando todas las medidas para proteger la información de nuestros clientes.

Aquí podrás encontrar información sobre nuestra certificación, la seguridad del producto, infraestructura,  backup, recuperación de los datos y el OSI7.

Webpower tiene certificado –  ISO 9001:2015 y ISO 27001:2013. El ISO 27001 establece los estándares para mantener los datos seguros. ISO 27001 es el estándar más conocido y requiere el uso de un sistema de gestión de la seguridad de la información (ISMS – sigla en inglés).

La información de nuestros clientes europeos se almacena en los Países Bajos. Del mismo modo, almacenamos la información de los clientes chinos en China. Cada continente merece su propio puerto seguro.

Webpower contrata a terceros, con frecuencia, para que analicen nuestra performace y realicen auditorias en nuestros sistemas de seguridad (Pen tests)  Estas pruebas se utilizan para confirmar que somos capaces de proteger los datos de nuestros clientes de los intrusos.

Siempre Disponible

  • Webpower  tiene un tiempo de actividad garantizado de  99.7%.
  • Los datos del cliente se respaldan en varias réplicas online, lo que garantiza que nunca perderá la información.
  • Nuestros equipos de operaciones monitorean el comportamiento de la plataforma y la aplicación cada hora del día, durante todo el año.
  • Tus campañas son tan importantes para nosotros como lo son para ti. En caso de mantenimiento programado, problemas en el rendimiento o interrupciones del servicio, se lo informaremos  y lo mantendremos continuamente actualizado. Este tipo de actualizaciones aparecerán automáticamente en su pantalla de inicio de sesión.

Seguridad del Producto

  • Las sesiones en Webpower siempre están protegidas por un poderoso algoritmo de encriptación  (TLS 1.x) para garantizar que no sea posible el espionaje o cualquier ataque.
  • Las tecnologías de firewall de la  web (WAF) identifican y bloquean los ataques antes de que lleguen.
  • Algunos trabajadores de Webpower, tienen acceso la las licencias, para poder dar asesorar a los clientes. Para este tipo de accesos, Webpower, utiliza un sistema  de autenticación y autorización alternativo.
  • Cada empleado de Webpower  recibe un certificado de PKI personalizado que debe instalarse en su ordenador. Cada vez que el empleado desea acceder al sistema, se solicita el certificado para validar su autenticación.
  • Cuando el certificado no está disponible – acceso la plataforma a partir de ordenadores de terceros – un sms es enviado al trabajador para que este pueda acceder a la licencia. El código enviado es de un sólo uso y sólo pode ser usado en un corto plazo de tiempo después del envío del sms.

Infraestructura & Seguridad del centro de datos

  • Los datos europeos de Webpower están alojados en centro de datos de terceros en Holanda. El acceso a estos centros es controlado y supervisado las 24horas, los 7 días de la semana.  Estos centros tienen certificado  SSAE-16 SOC II & ISO 27001.
  • Un sistema de prevención de intrusos  (IPS) actúa como un controlador de acceso y comprueba todos y todo lo que quiere acceso a la plataforma.
  • Proceso de gestión de incidentes receptivo. Los sistemas alimentan las anomalías de los equipos de seguridad y operaciones 24 × 7, eliminando las preocupaciones de seguridad a la primera señal.
  • El equipo de desarrolladores de Webpower son los responsables de construir y mantener la infraestructura del SaaS.
  • El acceso directo a los datos en la plataforma está restringido a los miembros del equipo de operaciones que es responsable de las operaciones diarias de la aplicación SaaS y de la infraestructura necesaria.
  • Los equipos de desarrollo, que son responsables del desarrollo central y las soluciones específicas personalizadas, no tienen acceso a la plataforma de producción. Tienen acceso restringido a entornos de prueba (de aceptación) y sistemas dedicados de registro de producción.

Backup & recuperación de los datos

  • Para mantener la seguridad de los datos, se implementan políticas de backup y recuperación. En Webpower,  realizamos una combinación de copias de seguridad completas e incrementales en bases diarias, semanales y mensuales. Esto nos permite recuperar datos de hasta 6 meses de antigüedad.
  • El backup se duplica y se almacena en otra ubicación física lejos de la ubicación del backup original por razones de seguridad. En caso de una calamidad que afecte la ubicación física del backup, el segundo backup permanece seguro.
  • Actualmente, cada cliente puede almacenar toda la información en la plataforma de Webpower por un tiempo ilimitado. Todos los datos se conservan y la integridad se salvaguarda con el tiempo.
  • Todos los componentes críticos de Webpower (bases de datos, servidores y servicios de soporte de back-end) están disponibles de forma redundante, tienen múltiples instancias de conmutación por error para evitar la interrupción de puntos únicos de falla. Nuestro backup de configuración asegura que nuestros clientes puedan acceder a su información rápidamente después de un incidente importante.
  • Los componentes están, como mínimo, duplicados. En caso de que un componente falle, los componentes restantes tienen la capacidad de asumir la carga de trabajo de los componentes defectuosos.

Información sobre la tecnología de la seguridad

Como nuestro SaaS aprovecha al máximo la integración con la nube y no depende de hardware o software del cliente, está disponible para todos.

Al tener los procedimientos correctos en su lugar y garantizar que el acceso al sistema por parte de los usuarios autorizados se configure y supervise correctamente, el riesgo de uso indebido por parte de los usuarios autorizados se reduce al mínimo. El posible abuso del sistema por parte de usuarios no autorizados, especialmente procedentes de fuentes desconocidas, debe evitarse, pero necesita medidas diferentes. Con el fin de minimizar el riesgo de que personas no autorizadas, sistemas o intrusos accedan a alguna parte de nuestras soluciones, se deben tomar varias medidas para fortalecer la seguridad en todos los niveles.

OSI 7 layer model

En cuanto al conocido  OSI 7, existen varias precauciones en cada nivel del modelo. Los posibles intrusos conocen este modelo y atacan una aplicación para buscar cualquier apertura en cada uno de los niveles.

Una vez que un intruso obtiene acceso en un cierto nivel, esta apertura a menudo se aprovecha para tratar de obtener acceso a otros niveles con el fin de obtener acceso y control en todos los niveles.

Cada ataque comienza con la recopilación de información. El objetivo es encontrar cualquier información que indique algo sobre la tecnología utilizada en cada nivel para crear una estrategia de ataque. Por lo tanto, es clave revelar la menor cantidad de información posible.

Network (Layer 1, 2 and 3)

Como resultado de las posibilidades actuales de la nube, todo está conectado a través de Internet. La red transporta solicitudes y responde en cualquier lugar. Además, es el punto de acceso básico para nuestra solución SaaS y la primera línea de seguridad en este nivel.

Un sistema de prevención de intrusiones (IPS) actúa como un controlador de acceso y verifica a todos y todo lo que quiere acceder a la solución. Si el tráfico de red no cumple con las reglas predefinidas, el IPS evitará que este tráfico pase. Webpower ha implementado varios IPS para las razones de conmutación por error / redundancia y control de acceso de múltiples capas.

Hardware y sistema de operación (Layer 4 and 5)

Nuestra arquitectura en la nube consiste en una gran cantidad de hardware físico y sistemas operativos que lo acompañan (Capa 4 y 5). Al estandarizar estas capas,  al trabajar con proveedores probados para el hardware y el sistema operativo, se garantiza la seguridad en estas capas. Los proveedores aprobados están parcheando y actualizando sus sistemas regularmente para mantenerse actualizados. SysOps sigue de cerca las recomendaciones de seguridad de los proveedores y aplica estas recomendaciones cuando corresponde.

Standard software & herramientas (Layer 5, 6 and 7)

El  SaaS de Webpower no solo utiliza herramientas personalizadas, sino que también utiliza componentes comúnmente disponibles (software y herramientas estándar – Capa 5, 6 y 7). Aunque la mayoría de estos componentes son ampliamente utilizados, aún pueden presentar riesgos. Los proveedores / creadores actualizan sus componentes, SysOps analizará estas actualizaciones caso por caso y, si es necesario, reemplazará el componente vulnerable.

Se produce una gran cantidad de comunicación en estas capas OSI entre varios componentes, tanto internos como externos. Si es necesario, la comunicación utiliza algoritmos de encriptación fuertes (TLS 1.x) para asegurar que no sea posible el espionaje y los ataques.

Webpower’s – software propio (Layer 6 and 7)

En cuanto al software propio de Webpower (Capa 6 y 7), la oferta SaaS de Webpower se desarrolla completamente en la empresa. Durante el proceso de desarrollo, el software se prueba repetidamente utilizando varias técnicas de prueba. Nuestro método de desarrollo basado en pruebas nos asegura que el software funcione según lo previsto aunque se realicen cambios. La guía de prueba OWASP se utiliza como una guía para definir pruebas orientadas a la seguridad.

 

¿Quieres saber más sobre Webpower?