Seguridad de nuestra plataforma
SuMapp es una plataforma que opera en un centro de datos, nube y con tecnología avanzada para asegurar la disponibilidad de nuestros servicios
3 Niveles de seguridad
Centro de datos
La Nube en la que opera SuMapp esta ubicada en el centro de datos de Equinix en Florida, USA.
Equinix cuenta con clasificación Tier IV, la máxima para un centro de datos, el data center ofrece la mejor conectividad con América Latina al estar ubicado en el NAP de las Américas en Florida, el hub por donde pasa el 90% de tráfico de Internet hacia y desde ese continente. Cuenta con 70.000 m2 de espacio técnico y se configura como uno de los mayores centros de datos.
Dicho centro de datos tiene de las mas rigurosos esquemas de seguiridad la cual se validan con las siguientes certificaciones:
-
SOC 1 type II
-
SOC 2 type II
-
ISO 27001
-
NIST 800-53/FI
-
PCI DSS
-
HIPAA
-
ISO 22301
Proveedor de nube
Dentro del centro de datos se encuentra nuestro proveedor de nube Gigas (gigas.com) el cual tambien tiene altos estándares de seguridad en la operación
-
Cuenta con la certificación del Esquema Nacional de Seguridad. Esta certificación define los estándares de seguridad que se aplican a todas las agencias gubernamentales y organizaciones públicas de España, así como a los proveedores de servicios de los que dependen los servicios públicos.
-
ISO 27001. Es el estándar más utilizado a la hora de comprobar que una empresa cuenta con los controles adecuados para gestionar la confidencialidad, integridad y disponibilidad de su información y de la de sus clientes. Para obtener la Certificación, hemos tenido que demostrar que tenemos un enfoque y un control sistemático en la gestión de todos los aspectos relacionados con la seguridad de la información. Además de políticas y procedimientos para una adecuada gestión de la seguridad de la información, ofrecemos medidas de seguridad concretas, como Sistemas de Detección y Prevención de Intrusos (IPS/IDS) para filtrar ataques e intrusiones, distintas tecnologías de firewall que bloqueen las comunicaciones no autorizadas (y permitan las legítimas), análisis del tráfico web y, por supuesto, sistemas antivirus y antispam
-
ISO 27018. La doble certificación en ISO 27001 e ISO 27018 nos permite asegurar a nuestros clientes que sus datos alojados en nuestra nube están garantizados y que no serán usados para ningún propósito para el cual no se dé expresamente su consentimiento.
-
PCI-DSS. No todos los cloud son iguales. Con Cloud PCI de Gigas obtienes el máximo nivel de seguridad para los datos críticos de pago de tus clientes y a la vez te facilitamos la obtención de tu propia PCI. Para llegar a este nivel ha sido necesario superar una minuciosa auditoría que asegura el cumplimiento de todos los requisitos exigidos por el estándar internacional y que debe cumplir toda empresa que realice tratamiento de tarjetas de pago. La falta de cumplimiento de este requisito conlleva cuantiosas multas de cualquiera de las cinco compañías integrantes del PCI-DSS Council: American Express, Discover, JCB, MasterCard y Visa
-
RGPD y CISPE. Una de las principales recomendaciones a la hora de elegir un cloud, y con ello también dónde alojar los datos de negocio, es verificar que éste cuenta con acreditaciones y certificados actualizados en estándares internacionales reconocidos. Gigas se compromete al correcto cumplimiento de las políticas de seguridad en materia de protección de datos, por su parte, no divulgando ningún tipo de información del cliente que pueda comprometer la seguridad de sus datos. La compañía es auditada anualmente para verificar la corrección de todos sus procedimientos en la materia. Además, la certificación europea CISPE relativa a la seguridad de los datos sobre nuestras soluciones cloud y nuestros estrictos procedimientos para salvaguardar la integridad y seguridad de los datos, aseguran definitivamente a nuestros clientes la correcta aplicación de una política de seguridad robusta.
Tecnología
Dentro nuestra infraestructura que administramos aplicamos nuestras propias reglas y estrategias de seguriad como:
-
El tráfico se pasa por nuestro proveedor de seguridad perimetral Cloudflare. Ahí se aplican reglas de tráfico, seguridad, destino, intentos de hackeo etc.
-
Se bloquea el tráfico de países enteros como Rusia y China
-
-
Dentro el equipo se instala y configura estos temas de seguridad:
-
Uso de contraseñas complejas
-
Firewall de tipo de tráfico. Solo permitimos el tipo de trafico que compete a nuestra solución. Todo el resto del tráfico es ignorado o bloqueado
-
Se tiene activado un bloqueo de IPs para cuando se tienen intentos de accesos con contraseñas incorrectas.
-
Se tiene activado un WAF con reglas actualizadas automáticamente y a diario de Comodo
-
Se tiene instalado el redireccionamiento de todo trafico a que vaya a utilizar nuestro SSL. No se permite tráfico sin encriptación
-
Se instalan de forma regular los parches de seguridad del sistema operativo utilizado (Ubuntu 18)
-
-
El proceso de actualización de nuevas mejoras de software se lleva a cabo con mejores prácticas como el uso de Github para poder tener control de liberación y la posibilidad de un roll-back eficiente.
-
No se permite en ninguna circunstancia acceso directo a la base de datos. Todo se mueve entre sistemas utilizando APIs. Éstos tienen que contar con un token y correr sobre el certificado de seguridad instalado en el servidor