Seguridad

Nuestra misión

La misión de SafetyCulture es ayudar a las empresas a lograr lugares de trabajo más seguros y de mayor calidad  en todo el mundo a través de productos móviles innovadores. Hacemos esto a través de nuestra aplicación insignia de software como servicio (SaaS) SafetyCulture (iAuditor). Aproximadamente 75.000 empresas de todo el mundo utilizan estos productos en una gran cantidad de industrias y en una variedad de casos de uso.

Nos enorgullece que SafetyCulture sea visto como un líder mundial en productos que promueven la seguridad y la calidad, y sabemos lo importante que es nuestro papel para ayudar a nuestros clientes a mejorar sus operaciones diarias.

Consideramos que nuestro enfoque en la seguridad cibernética es un pilar clave para mantener nuestro estatus como líderes en el campo, y este contenido proporciona una descripción general de cómo abordamos la seguridad cibernética como organización.

Descripción general

SafetyCulture cuenta con un programa de seguridad cibernética activo, sólido y en continua mejora para garantizar que nuestra organización y los productos que ofrecemos sean seguros. El programa de seguridad cibernética de SafetyCulture emplea una serie de controles a nivel técnico y operativo para garantizar que tengamos un enfoque eficaz y con una defensa profunda para protegernos de los ataques cibernéticos y asegurar los datos que maneja nuestra aplicación SaaS, SafetyCulture (iAuditor).

Las características clave incluyen:

  • Un programa de seguridad alineado con los estándares de buenas prácticas de la industria, incluido el uso de plataformas en la nube que cumplen con los puntos de referencia de seguridad fiables, como ISO27001 y SOC 2.
  • Un enfoque en conocer bien los conceptos básicos, reconociendo que los principios básicos de la seguridad siguen siendo los más críticos. Esto incluye:
    • Emplear mecanismos sólidos para garantizar que el acceso a los sistemas de SafetyCulture y los datos de los clientes se controlen cuidadosamente.
    • Encriptar los datos del cliente que tenemos (tanto en tránsito como en reposo).
    • Asegurarnos de que apliquemos rápidamente parches en nuestro entorno de TI y en nuestros productos para minimizar la oportunidad de que los ciberatacantes exploten alguna vulnerabilidad.
    • Supervisar y probar activamente nuestro entorno de TI y nuestros productos para detectar vulnerabilidades emergentes y solucionarlas como prioridad.
    • Tener un proceso definido implementado, respaldado por un equipo dedicado, para brindar soporte técnico y respuestas efectivas en caso de un incidente de seguridad.
  • Aplicar la debida diligencia para garantizar que nuestros proveedores de servicios cumplan con los estándares de la industria en lo que respecta a la seguridad. Sabemos que la seguridad de nuestros socios nos afecta directamente a nosotros y a nuestros clientes, por lo que elegimos con mucho cuidado con quién trabajamos.

El contenido siguiente proporciona una descripción general de las distintas partes de nuestro programa de seguridad.

Prácticas de seguridad organizacional

Nuestro método de seguridad se centra en alinearnos junto a las mejores prácticas recomendadas en estándares reconocidos como elNIST, ISO27001y los marcos SOC.

Gobernanza de la seguridad

SafetyCulture tiene un conjunto documentado de políticas y procedimientos que define nuestro enfoque en la seguridad como organización. Estas políticas y procedimientos se comparten con todo el personal y se revisan y actualizan al menos una vez al año (y con más frecuencia cuando se requieren cambios materiales) para garantizar que nuestro enfoque en la seguridad esté actualizado.

Nos centramos en garantizar la rendición de cuentas para la seguridad en toda nuestra empresa. Con este fin, tenemos un foro de administración de seguridad de la información creado junto con otras partes interesadas clave de todo SafetyCulture que se reúnen regularmente para revisar y debatir asuntos relacionados con la seguridad y tomar cualquier decisión que tenga una influencia en nuestro enfoque de la seguridad cibernética.

Acceso a sistemas internos y plataformas en la nube

Nos aseguramos de que el acceso a los sistemas en nuestro entorno de TI, incluidas las plataformas en la nube que utilizamos, esté restringido solamente a los empleados que requieren específicamente este acceso para su trabajo.

Todo acceso de un administrador requiere autenticación multifactor y los empleados que accedan a nuestro entorno deben utilizar una solución VPN aprobada.

Los permisos de acceso a nuestros sistemas se revisan periódicamente para cada empleado y se modifican de inmediato. Como parte de nuestro proceso de baja, se revoca todo el acceso a los sistemas y servicios de los empleados que ya no forman parte de la empresa.

Seguridad de terceros

Revisamos cuidadosamente las prácticas de seguridad de las partes externas con las que trabajamos, inicialmente y de forma continua, para asegurarnos de que sus prácticas cumplen con los estándares de la industria y cumplen con nuestras propias políticas y procedimientos de privacidad y seguridad. Si un tercero requiere acceso a nuestros sistemas, nos aseguramos de que el acceso se limite específicamente al propósito para el que se ha contratado.

Como Amazon Web Services (AWS) es uno de nuestros principales proveedores, nos relacionamos con ellos mediante el modelo de responsabilidad compartida para la seguridad y el cumplimiento, lo que garantiza que haya una definición clara de quién asume la responsabilidad de qué en lo que respecta a la seguridad. AWS está acreditado y cumple con una gran cantidad de los últimos estándares de la industria; puede encontrar más información aquí: https://aws.amazon.com/artifact.

Para el procesamiento de datos financieros y tarjetas de crédito, SafetyCulture utiliza varios socios (Chargify, eWay y Stripe) cuyas prácticas de seguridad cumplen con el estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS, por sus siglas en inglés).

Seguridad de la red

Las redes corporativas de SafetyCulture están protegidas con firewalls, así como con IDS y Tecnología IPS en el perímetro (proporcionada por dedicados dispositivos de seguridad Cisco administrados) para que podamos detectar y protegernos contra cualquier tráfico malicioso.

Para nuestras plataformas en nube, utilizamos principalmente Amazon Web Services (AWS), que proporciona una estrategia que contiene varios niveles para defendernos de ataques externos. A nivel de infraestructura, AWS emplea estrategias como el control de acceso a los dispositivos de red, la segregación de datos mediante firewalls y nubes privadas virtuales para filtrar el tráfico malicioso y hacer uso de un registro y una supervisión exhaustivos para evitar ataques en la red. A nivel de aplicación, aprovechamos AWS Web Application Firewall y AWS Shield para evitar ataques de ​​web y de denegación de servicio (DoS) contra nuestros productos.

Registro y supervisión

SafetyCulture utiliza un sistema de registro centralizado que incluye eventos de auditoría de acceso a las aplicaciones. Estos registros se conservan durante 90 días. También usamos los registros de Amazon ELB para rastrear las solicitudes de acceso al servicio (exitosas o no). Los registros almacenados en AWS no se pueden modificar y el acceso está restringido a aquellos que lo requieran para los requisitos de su función.

Reconocemos la importancia de revisar los registros con regularidad para identificar la actividad malintencionada de los usuarios e identificar posibles vulnerabilidades en nuestros productos; Contamos con una supervisión automatizada que nos alerta sobre tipos específicos de eventos potencialmente maliciosos dentro de nuestra infraestructura global.

Capacitación en concienciación sobre la seguridad

Todo el personal de SafetyCulture recibe capacitación periódica de concienciación sobre la seguridad para funciones técnicas y no técnicas. Los materiales de capacitación en seguridad también se desarrollan para el personal individual cuando sea necesario para garantizar que estén equipados para manejar los requisitos específicos de sus roles orientados a la seguridad.

Gestión de vulnerabilidades y parches

La aplicación de parches a nuestro entorno de TI es una de las medidas más importantes que tomamos para estar seguros frente a una posible violación de la seguridad. Para lograr esto:

  • Usamos AWS System Manager para implementar parches regularmente en nuestra infraestructura en nube.
  • Utilizamos soluciones de administración de dispositivos para garantizar que los parches importantes se instalen de la manera más rápida y eficiente posible.
  • Primero, implementamos parches para las vulnerabilidades más críticas; estos se implementan en nuestro entorno que no es de producción para las pruebas iniciales antes de propagarse rápidamente por el entorno de TI.

Protección de los datos del cliente

SafetyCulture se toma muy en serio la seguridad de los datos de nuestros clientes. Tenemos una serie de medidas para garantizar que los datos del cliente estén cuidadosamente protegidos.

Restricción del acceso a los datos

SafetyCulture toma una serie de medidas para ayudar a proteger los datos de los clientes del acceso o uso inapropiado por parte de personas no autorizadas (ya sea externas o internas). Los datos del cliente solo se almacenan en nuestro entorno de producción, y el acceso a esos datos por parte de los empleados de SafetyCulture está limitado solamente a los empleados que requieren acceso para realizar sus tareas estándar. El acceso a los datos de los clientes se gestiona mediante herramientas de autenticación y control de acceso (incluido el uso de autenticación de dos factores) proporcionadas por Amazon Web Services y nuestros otros socios en la nube.

Los datos del cliente solo se utilizan para fines compatibles con la prestación de los servicios contratados, como la resolución de problemas en las solicitudes de asistencia técnica. Para obtener todos los detalles, consulte la política de privacidad de SafetyCulture que se encuentra aquí: https://safetyculture.com/legal/privacy-policy/.

En el inusual caso de que los empleados de soporte técnico de SafetyCulture necesiten acceder al cuerpo completo de los datos de un cliente específico, SafetyCulture siempre requerirá el consentimiento de un cliente antes de acceder a estos datos.

No guardamos ni almacenamos en caché los datos financieros de los clientes que se utilizan junto con la facturación a través de la plataforma de SafetyCulture, y nuestros empleados no tienen acceso directo a los datos de facturación

Acceso físico a los datos del cliente

Todos los datos de los clientes están alojados en la infraestructura proporcionada por Amazon Web Services que mantiene la seguridad física de sus sitios utilizando los controles de buenas prácticas de la industria como se describe en su sitio web de seguridad y cumplimiento que se encuentra aquí:https://aws.amazon.com/architecture/security-identity-compliance/.

No se almacenan datos de clientes en las ubicaciones de nuestras oficinas físicas.

Encriptación de datos

SafetyCulture cuenta con mecanismos para garantizar que los datos de nuestros clientes estén protegidos tanto en reposo como en tránsito. En reposo, todos los datos de los clientes almacenados en los sistemas se cifran mediante AES-256 con claves administradas a través del servicio de administración de claves de Amazon Web Services. Todos los datos se almacenan de forma segura y están sujetos a las políticas y procedimientos de seguridad de AWS.

Para proteger los datos en tránsito, SafetyCulture usa Transport Layer Security (TLS) y aplica un estándar mínimo de TLS v1.2 usando claves de encriptado de 128 bits. Admitimos conexiones con claves de encriptación de hasta 256 bits para su uso con una encriptación estándar de cifrado avanzado (AES).

Copias de seguridad de datos

Se realiza una copia de seguridad de los datos de SafetyCulture a intervalos regulares para distintas soluciones de almacenamiento de datos encriptados que ofrece Amazon Web Services. Las copias de seguridad se replican en varias instalaciones de AWS dentro de la región elegida por el cliente.

El acceso a las copias de seguridad de datos está restringido solo a empleados específicos de SafetyCulture en el que ese acceso es necesario como parte de los requisitos de su función.

Eliminación y deshecho de datos

Los datos de nuestros clientes se almacenan principalmente y están sujetos a los procedimientos de eliminación y deshecho de Amazon Web Services. Estos procedimientos incluyen un proceso seguro para borrar lógicamente los archivos multimedia ya retirados. Después, los archivos multimedia borrados se inspeccionan para garantizar la destrucción exitosa de los datos.

Cualquier hardware propiedad de SafetyCulture que contenga datos confidenciales, incluidas las copias de seguridad de SafetyCulture, está sujeto a la destrucción de datos lógica y estándar de la industria antes de ser reciclados. Siempre que sea posible, SafetyCulture utiliza la encriptación AES-256 GCM en cualquier copia digital.

Protección de nuestros productos

Reconocemos que para la mayoría de los clientes, su principal experiencia con SafetyCulture será a través de nuestro producto estrella SafetyCulture (iAuditor). La seguridad es una parte importante de la forma en que se desarrolla y funciona este producto, como se explica a continuación.

Prácticas seguras de desarrollo de software

Como parte de nuestro proceso de desarrollo de productos, cada cambio de código e infraestructura se revisa antes del lanzamiento del cambio a la producción. Esta revisión incluye el cumplimiento de las mejores prácticas de seguridad. También separamos nuestros entornos de desarrollo, prueba y producción.

Control de cambios

Todos los cambios en los productos de SafetyCulture se prueban activamente durante su desarrollo para garantizar que el impacto en los usuarios finales se evalúe antes de la implementación, y cualquier cambio significativo se incluye en las notas del lanzamiento de producción.

SafetyCulture emplea sistemas de seguimiento de cambios y control de versiones para supervisar y administrar activamente los cambios en la base del código o la configuración de nuestros productos. También usamos Amazon CloudTrail para rastrear cualquier cambio en la configuración subyacente de la plataforma en nube en la que operan nuestros productos.

Identificación de vulnerabilidades y gestión de parches

Trabajamos arduamente para minimizar la cantidad de vulnerabilidades que surgen en nuestros productos y reconocemos que es importante tomar medidas proactivas para asegurarnos de abordar cualquier vulnerabilidad lo más rápido posible. Con ese fin, SafetyCulture prueba y supervisa activamente las vulnerabilidades en nuestras aplicaciones. Ejecutamos un programa privado de recompensas por la búsqueda de errores ya que una comunidad de investigadores de seguridad independientes incentivados para probar nuestros productos de forma continua e identificar cualquier posible observación solo servirá para fortalecer la seguridad de nuestros productos.

Cuando se identifica una vulnerabilidad (interna o externamente), la observación se rastrea y se prioriza de acuerdo con la posible gravedad del impacto en nuestros clientes. Para observaciones de gravedad crítica, se puede incluir un trabajo de 24 horas al día por parte de nuestros desarrolladores hasta que se solucione el problema.

Los parches para observaciones se desarrollan y publican en el entorno de producción a través de un proceso de integración continuo (CI/CD) y se aplican lo antes posible.

Gestionar incidentes de seguridad

Si bien hacemos todo lo posible para prevenir cualquier incidente de seguridad, sabemos que también debemos estar preparados para manejar estos incidentes en caso de que surjan para minimizar el posible impacto para nuestros clientes y SafetyCulture.

Contamos con una serie de medidas que incluyen:

  • Un procedimiento de gestión de incidentes documentado que define nuestro proceso para gestionar la confidencialidad, integridad y disponibilidad de nuestro entorno y aplicaciones de TI.
  • Un equipo dedicado de empleados de SafetyCulture repartidos por Oceanía, EE. UU. y el sudeste asiático para proporcionar asistencia durante un incidente.
  • Planes de recuperación de desastres y estrategias de contingencia que se pueden ejecutar para ayudarnos a mantener la continuidad de las operaciones durante un incidente. Incluyen el uso de múltiples zonas de disponibilidad geográfica a través de Amazon Web Services y la replicación de datos en múltiples sistemas en cada zona. Esta solución asegura el acceso continuo a los datos durante los incidentes que afectan la disponibilidad del sistema y proporciona redundancia de datos en caso de fallos en el sistema o en el almacenamiento de datos.

SafetyCulture alerta de inmediato a los clientes afectados sobre incidentes importantes que afecten la disponibilidad de los servicios o datos de SafetyCulture y de cualquier incidente que afecte la confidencialidad e integridad de los datos del usuario según nuestra  política de privacidad de SafetyCulture.

Comentarios finales

SafetyCulture considera que la ciberseguridad es una parte fundamental de nuestro negocio y de los productos que ofrecemos a empresas de todo el mundo. Si bien los controles y las medidas que tenemos implementados se extienden significativamente más allá de lo que se aborda aquí, este contenido sirve para proporcionar una comprensión general del enfoque multifacético que adoptamos en nuestro compromiso con la seguridad.

Si tiene alguna pregunta sobre el contenido o necesita más información sobre nuestro método de asistencia, seguridad o privacidad, contacte con nosotros en los siguientes datos:

support@safetyculture.com

security@safetyculture.com

privacy@safetyculture.com