Protección

«La seguridad es un trabajo: ¡nuestro trabajo!»

La seguridad de la información es nuestra prioridad número uno.

Nuestros clientes confían en nosotros para que gestionemos su información más estratégica. Les debemos la seguridad del mejor nivel.

Nuestros servidores están ubicados en Francia y en Canadá. Los datos no se comparten en la nube ni son accesibles al gobierno estadounidense por la ley Patriot. Los datos se almacenan y transmiten en forma cifrada. DiliTrust Exec tiene certificación ISO 27001.

 

Tres niveles distintos de protección

1- INFRAESTRUCTURA FÍSICA

Alojamiento certificado ISO 27001

Con el fin de mejorar continuamente la protección de datos y garantizar la confidencialidad de su información, los portales de DiliTrust Exec están alojados en servidores con certificaciones en el campo de la seguridad informática.

El alojamiento está certificado por la norma internacional ISO/IEC 27001:2013. Este estándar garantiza la implementación de un Sistema de Gestión de Seguridad de la Información para la seguridad de los datos. ISO 27001 también define las medidas de control para asegurar la relevancia del sistema y así proporcionar a nuestros clientes unos requisitos de seguridad de altísimo nivel.

Todos los datos confidenciales en reposo se cifran con el estándar de cifrado avanzado (AES) con una clave de 256 bits, tanto en servidores como en dispositivos móviles (para datos almacenados localmente).

Utilizamos cifrado TLS (solo protocolos TLS 1.0, 1.1 y 1.2) con los más altos niveles de cifrado (256 bits) para todo el tráfico (datos en movimiento). No permitimos el tráfico no cifrado. Solo ofrecemos compatibilidad con los navegadores modernos y seguros (IE9 +, Firefox, Chrome, Safari) y las aplicaciones móviles son nativas. Se negará el acceso con navegadores obsoletos e inseguros (como IE6).

2 – NIVEL SERVIDOR-APLICACIÓN:

Tenemos tres niveles de controles de seguridad redundantes: auditorías internas, auditorías automatizadas diarias y auditorías externas humanas periódicas. Si se descubre una vulnerabilidad de seguridad, se corrige lo antes posible. Aplicamos las recomendaciones y las mejores prácticas sistemáticamente en la medida de lo posible:

  • Auditorías internas

DiliTrust aplica estrictos procedimientos internos para asegurar el cumplimiento de las mejores prácticas de seguridad:

  • Procedimientos internos de revisión de código y pruebas de seguridad antes de poner cada nueva funcionalidad en producción.
  • Pruebas de seguridad interna y empleo de varias herramientas de auditoría de seguridad.
  • Pruebas de intrusión automatizadas diarias

Nuestro sistema está asegurado por Qualys. Lo sometemos a un análisis diario intensivo del servidor de nivel de seguridad (config firewall, puertos, versiones de software actualizadas, config SSL, etc.) pero también de las aplicaciones de nivel (XSS, inyección SQL, sesión de hijacking, etc.).

Las pruebas de intrusión de Qualys garantizan que la seguridad de la aplicación cumple con todos los requisitos de seguridad PCI (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago) y las disposiciones de auditoría externa de vulnerabilidades de las siguientes organizaciones:

  • Centro Nacional de Protección de Infraestructuras (NIPC)
  • Departamento de Seguridad Nacional
  • Top 10 de la OWASP
  • Requisitos de Verificación de Vulnerabilidad de VISA
  • AIS, SDP MasterCard, American Express DSS
  • Estándares de seguridad de DISC Discover Card
  • Consulte las auditorías externas de los estándares de seguridad DISC Card realizadas por expertos independientes

Una o dos veces al año, realizamos una auditoría de seguridad completa a manos de una empresa externa especializada en seguridad informática (pruebas de intrusión «humana» no automatizadas).

3 – NIVEL DE CLIENTE:

Clave de cifrado SSL de 256 bits

Cada usuario recibe un nombre de usuario único y se le asigna una contraseña temporal. Todos los usuarios tienen que cambiar su contraseña al iniciar sesión por primera vez. La seguridad de contraseña predeterminada asegura el cumplimiento de la imposición de una plataforma «segura». Las contraseñas se guardan en hash después de un cifrado unidireccional (inyectivo).

Cada solicitud que reciben nuestros servidores es autenticada para verificar la identidad del usuario y comprobar si el usuario tiene los permisos apropiados para realizar la acción solicitada. La solicitud se transmite para su ejecución si, y solo si, estas comprobaciones se validan correctamente.

Una opción de autenticación fuerte por mensaje de texto (TFA = Two factor authentication/autenticación de dos factores): tras indicar su nombre de usuario y contraseña, el usuario recibe un SMS con un código que debe introducir para completar su autenticación. Cada código es de un solo uso y se corresponde con un intento de conexión específico.