Esta Política de Seguridad describe las medidas, procedimientos y directrices que Guardey sigue para garantizar la seguridad de los datos y sistemas. Esta política se aplica a todos los empleados, contratistas y terceros que tienen acceso a los sistemas y datos de Guardey.
Los objetivos de Guardey son:
- Proteger la confidencialidad, integridad y disponibilidad de los datos.
- Prevenir el acceso no autorizado y las amenazas.
- Cumplir las leyes, reglamentos y normas del sector pertinentes.
- Mínimo privilegio: Sólo se concede acceso a los datos y sistemas necesarios.
- Responsabilidad: Todo el mundo dentro de Guardey es responsable de adherirse a las medidas de seguridad.
- Identificación y autenticación: Todos los usuarios deben autenticarse mediante autenticación multifactor (2FA) utilizando el correo electrónico. También se utiliza el inicio de sesión único (SSO) a través de Microsoft para agilizar y proteger el acceso.
- Autorización: Guardey emplea un modelo de control de acceso basado en roles (RBAC) que rige las unidades organizativas, las cuentas de usuario y los grupos de usuarios.
- Gestión de cuentas: La creación, mantenimiento y eliminación de cuentas siguen procedimientos estrictamente definidos.
- Cifrado: Todos los datos en tránsito están protegidos con TLS.
- Clasificación de datos: Los datos se clasifican en función de su sensibilidad y se tratan en consecuencia.
- Copias de seguridad: Se realizan copias de seguridad diarias de la base de datos y se almacenan encriptadas en múltiples regiones dentro de nuestro hosting. En caso de pérdida de datos de producción, estas copias de seguridad pueden utilizarse para restaurar los datos.
- Cortafuegos: Guardey utiliza el Cloudflare Web Application Firewall (WAF) para proteger las aplicaciones de los ataques.
- Segmentación de red: Se mantiene un entorno de producción dedicado, lo que garantiza que los datos de los clientes nunca se almacenen o procesen en sistemas que no sean de producción.
- Detección de intrusiones: Supervisión y registro continuos de la infraestructura de red para detectar y evitar accesos no autorizados.
- Directrices de desarrollo: Los desarrolladores siguen las directrices de seguridad y las mejores prácticas para una codificación segura.
-Desarrollo seguro de aplicaciones: Todos nuestros cambios de código son revisados por un segundo desarrollador y a través de CI para comprobar su calidad, errores y vulnerabilidades.
A continuación, se vuelven a comprobar los cambios en un entorno de preproducción. Si todo funciona correctamente, uno de nuestros administradores puede aprobar el cambio, tras lo cual se produce un despliegue automatizado del cambio en el entorno de producción.
-Gestión de vulnerabilidades: Análisis y actualizaciones periódicas para identificar y corregir vulnerabilidades.
-Pruebas de seguridad: Pruebas de penetración y revisiones de código periódicas.
- Centros de datos: Los datos de Guardey se alojan en centros de datos seguros ubicados en los Países Bajos (UE) para cumplir con la normativa de protección de datos y privacidad de la UE. Estos centros de datos emplean restricciones de acceso físico, sistemas de vigilancia y salvaguardas medioambientales.
-Acceso a ubicaciones físicas: Sólo el personal autorizado tiene acceso a las ubicaciones sensibles.
- Plan de respuesta a incidentes: Procedimientos detallados de notificación y gestión de incidentes de seguridad.
-Comunicación: Protocolos definidos de comunicación interna y externa durante los incidentes.
-Análisis forense: Investigación y análisis de incidentes para determinar causas e impactos.
- Herramientas de monitoreo: Guardey utiliza varias herramientas de monitorización para supervisar y gestionar los cambios en su infraestructura.
-Registro: Todos los cambios y acciones dentro del entorno de Guardey se registran meticulosamente. Se generan alertas basadas en la severidad o impacto potencial de los cambios.
- Eliminación de datos: Los clientes son responsables de sus datos y pueden ordenar a Guardey que borre todos sus datos en cumplimiento de la legislación aplicable, salvo que la normativa obligue a conservarlos.
- Laboratorios Qualys SSL: Guardey tiene una calificación de grado A.
-Cumplimiento normativo: Guardey garantiza que todas las medidas de seguridad cumplen las leyes y normativas pertinentes, como el GDPR.
- Revisión y actualización: Esta política se revisa y actualiza periódicamente para garantizar su adecuación a las nuevas amenazas y tecnologías.
-Monitoreo y Cumplimiento: Guardey supervisa y hace cumplir esta política a todas las partes implicadas.
En Guardey, practicamos lo que predicamos. Como empresa que ofrece formación en security awareness a través de sesiones semanales de nanoaprendizaje, nos aseguramos de que todos nuestros empleados también reciban una formación rigurosa utilizando nuestro propio producto. Esto no sólo mantiene a nuestro equipo al día con las últimas prácticas de seguridad, sino que también demuestra nuestro compromiso con la seguridad desde dentro. Nuestros empleados participan en estas atractivas e informativas sesiones de formación, garantizando que security awareness sea siempre una prioridad.