Protección

«La seguridad es un trabajo: ¡nuestro trabajo!»

¡LA SEGURIDAD DE SUS DATOS ES NUESTRA PRIORIDAD N.º 1!

La seguridad de sus datos es crucial para la permanencia de todas las organizaciones. El robo o la pérdida de datos, la no conformidad con procedimientos legales como la RGPD o incluso el coste ocasionado por la pérdida de tiempo debido a una interrupción del sistema pueden causar un daño considerable a cualquier organización.

Incluso más de lo que podría ser para nuestros clientes, la seguridad de sus datos es vital para nosotros.

Tanto si se trata de la protección contra la piratería informática externa, infracciones de seguridad interna, divulgación de información o errores humanos, la seguridad es esencial para nuestros clientes y es una parte integral de nuestro servicio. Toda nuestra organización está centrada en este objetivo: ofrecer a nuestros clientes el mayor nivel de seguridad posible.

UNA CULTURA DE SEGURIDAD

DiliTrust tiene una certificación ISO 27001. Esta certificación abarca todos los aspectos de nuestro servicio, incluyendo incluso nuestro servicio de atención al cliente y las operaciones. ISO 27001 proporciona recomendaciones sobre buenas prácticas sobre la gestión de la seguridad de la información. Su ámbito de aplicación ha sido diseñado para ser muy amplio y abarca mucho más que la protección, la confidencialidad y las cuestiones técnicas o de seguridad.

Todos nuestros empleados están capacitados para cumplir con la certificación ISO 27001, tanto desde el momento de su incorporación a la empresa como a lo largo de su carrera profesional. DiliTrust organiza regularmente cursos de capacitación sobre las mejores prácticas de seguridad y difunde información con estos equipos para asegurar que mantenemos el ritmo con el entorno de seguridad de TI en constante evolución. Asimismo, nuestros empleados deben firmar un acuerdo de confidencialidad.
Como parte de nuestra estrategia de integración, también ofrecemos a nuestros clientes información sobre estándares de seguridad como la política de contraseñas y la gestión de terminales.

INFRAESTRUCTURA FÍSICA

UBICACIÓN DE LOS SERVIDORES

Nuestros servidores están certificados con los más altos estándares de seguridad y están ubicados en la región de París, Francia.
Los datos alojados no se comparten en la nube y no están sujetos bajo ninguna circunstancia a las Leyes Cloud y Patriot de los Estados Unidos, lo que da a nuestros clientes un control constante de sus datos confidenciales.

SEGURIDAD FÍSICA

Otro aspecto esencial en la seguridad de datos es la seguridad física. El acceso físico al centro de datos es controlado por un sistema de identificador de seguridad, cámaras de seguridad y personal de seguridad 24/7.
Los lugares físicos están equipados con sistemas de detección de humos y de un sistema de doble alimentación sistemática con generadores auxiliares con una autonomía inicial de 48 horas.
Además, las instalaciones están equipadas con dos conexiones de red redundantes para reducir su dependencia de un solo proveedor de servicios.
Por ultímo, todas las instalaciones están protegidas contra inundaciones, incendios y otros peligros ambientales.

ALMACENAMIENTO ISO 27001 DE SEGURIDAD MAXIMA

Para mejorar continuamente la protección de los datos y garantizar la confidencialidad de toda la información, todos los sistemas y los datos de DiliTrust están alojados en servidores que cumplen con los más altos estándares de certificación internacional en el área de la seguridad informática.
Su alojamiento está certificado por la normativa ISO/IEC 27001:2013. Esta normativa garantiza la aplicación de un Sistema de Gestión dela Seguridad de la Información (ISMS) ISO 27001 define asimismo medidas de control para asegurar la capacidad de los sistemas de proporcionar a nuestros clientes el más alto nivel de seguridad.

VIGILANCIA 24/7

Nuestros sistemas están vigilados 24/7 para evitar cualquier intento de ataque o de problemas técnicos:

  • Vigilancia técnica de hardware, tasa de utilización de memoria, rendimiento de aplicación…
  • Activación automática de alertas en caso de detección de actividades sospechosas;
  • Firewall, IDS (Intrusion Detection System), sistema antidesbordamiento y protección contra ataques de fuerza bruta.

Todos los serviciores tienen discos y acceso a red redundantes, así como un sistema de copias de seguridad integrales diarias.

COPIAS DE SEGURIDAD (BACKUPS)

Se realizan a diario copias de seguridad del sistema, que se almacenan en una ubicación secundaria (geográficamente remota) bajo las mismas condiciones de seguridad que los servidores de producción.
Las copias de seguridad se conservan durante un máximo de siete días (7 días seguidos) y luego se destruyen de forma permanente sin posibilidad de recuperación. Ejemplo: el archivo de copia de seguridad del lunes sobrescribe automáticamente el archivo del lunes anterior.
Hay una instalación operativa secundaria disponible, en caso de fuerza mayor, para reiniciar el servicio con retardo DNS.

CIFRADO

« DATA-AT-REST » : AES 256

Todos los datos confidenciales en reposo están cifrados en AES (Advanced Encryption Standard, Rijndael) con una clave de 256 bits.
Esto se aplica tanto a los servidores como a los dispositivos móviles (para los datos almacenados localmente).

« DATA-IN-MOTION » : HTTPS 256 BITS

Nuestro estándar para todo el tráfico (datos en movimiento) dentro o fuera de nuestros servidores es el cifrado sistemático TLS (solo protocolos TLS 1.0, 1.1 y 1.2) con cifrado del más alto nivel (256 bits). No se autoriza ningún tráfico no cifrado.
Solo se autoriza el uso de los navegadores más modernos y seguros (IE11, Edge, Firefox, Chrome, Safari) y las aplicaciones móviles nativas DiliTrust. Se rechaza el acceso por parte de navegadores obsoletos y no seguros (como IE8).

MÓDULO MATERIAL DE SEGURIDAD (HSM)

Un «hardware security module» (HSM) es una caja fuerte digital. Se trata de un procesador criptográfico especializado y especialmente diseñado para proteger las claves de cifrado a lo largo de su ciclo de vida.
El HSM funciona como una base de confianza que protege la infraestructura criptográfica de nuestras aplicaciones gestionando, tratando y conservando de manera segura las claves de cifrado en el interior de un servidor de seguridad especialmente reforzado y altamente seguro. La tecnología HSM ayuda a proveer a nuestros clientes el mejor nivel de cifrado para sus datos y el nivel de seguridad más elevado disponible en la actualidad.

TRAIGA SU PROPIA CLAVE (BYOK)

Ofrecemos a nuestros clientes la posibilidad de almacenar ellos mismos su propio HSM (conforme a PKCS11) para proteger su propia clave de cifrado. Todos los datos de nuestros clientes son cifrados con su propia clave. Estas claves se aseguran en el cliente HSM en vez de en el HSM del proveedor.

OTRAS FUNCIONES RELACIONADAS CON LA SEGURIDAD

CONTRASEÑAS SEGURAS

Cada usuario se identifica con un nombre de usuario y una contraseña únicos. Todos los usuarios deben elegir su propia contraseña segura. Las contraseñas nunca se envían a nadie por correo electrónico ni se muestran a nadie. Las contraseñas se cifran en formato hash, tras un cifrado unidireccional (inyectivo).
La política de contraseñas por defecto es la siguiente:

  • Debe contener al menos tres caracteres de distintos tipos (minúsculas, mayúsculas, cifras o puntuación).
  • 10 caracteres como mínimo.

Procedimiento de recuperación de contraseña (o primer acceso): correo con enlace seguro de acceso único (caduca a las 24 h y tras su uso).
Cada consulta a nuestros servidores está autentificada para verificar la entidad del usuario y si el usuario posee las autorizaciones pertinentes para realizar la acción demandada. La consulta se transmite por ejecución, solo si los controles se validan correctamente.
Cada solicitud realizada a los servidores se autentica para verificar la identidad del usuario y si el usuario tiene los permisos adecuados para realizar la acción solicitada. La solicitud se reenvía para su ejecución si y solo si todas estas comprobaciones se validan correctamente.
Cuando los datos dejan de ser útiles, las claves se pueden simplemente borrar. Esta práctica se conoce como crypto-shredding.

AUTENTICACIÓN FUERTE POR SMS (TFA)

La autenticación de dos factores (o TFA, two-factor authentication) puede mejorar la seguridad para el usuario al acceder a la aplicación. Después de indicar su nombre de usuario y su contraseña, el usuario recibe un SMS con un código que debe introducir para finalizar su autenticación. Los códigos son de un único uso y solo pueden usarse para un intento de conexión específica.

AUDITORÍAS

Con el objetivo de asegurar el más alto nivel de seguridad, aplicamos 3 niveles de seguridad redundantes: auditorías internas, auditorías internas automatizadas semanales y auditorías externas humanas, como mínimo anualmente.
En caso de descubrimiento de una falla de seguridad, esta se corrige lo más rápido posible. Se aplican sistemáticamente las recomendaciones y las buenas prácticas en la medida de lo posible.

AUDITORÍAS INTERNAS

DiliTrust aplica procedimientos internos estrictos para asegurar la aplicación de las mejores prácticas de seguridad:

  • «Security by design»: los equipos de desarrollo están formados en técnicas de intrusión y en código seguro para prevenir ataques.
  • Procedimientos internos de «revisión de código» y pruebas de seguridad antes de la entrada en producción de nuevas funcionalidades.
  • Pruebas internas de seguridad y uso de herramientas varias de auditoría de seguridad.
  • Tests internes de sécurité et utilisation de divers outils d’audit de sécurité, principalement ceux disponibles dans la distribution Linux Kali.

Principalmente las disponibles en la distribución Linux Kali (sqlmap, burpsuite, owasp, blindelephant, nmap etc).

AUDITORÍAS EXTERNAS POR EXPERTOS INDEPENDIENTE

Una vez al año procedemos a una auditoría de seguridad completa de manos de una empresa externa independiente especializada en la seguridad informática (pruebas de intrusión «humanas» no automatizadas).
Se genera un informe de seguridad a final de cada prueba. Las fallas se corrigen inmediatamente y las recomendaciones de mejora se aplican lo antes posible.

PRUEBAS DE INTRUSIÓN AUTOMÁTICAS DIARIAS QUALYS SECURE SEAL

Nuestros sistemas están asegurados por Qualys. Está sujeto a un intenso análisis de seguridad semanal a nivel de servidor (configuración de firewall, puertos, versiones de software actualizadas, configuración SSL… etc.) pero también a nivel de aplicación (XSS, inyección SQL, sesión de hijacking, etc.).
Ha sido testado para aprobar con éxito todas las recomendaciones de seguridad provenientes de auditorías externas de vulnerabilidad a través de las siguientes organizaciones:

  • Department of Homeland Security’s National Infrastructure Protection Centre (NIPC)
  • SANS/FBI Top 20 Internet Security Vulnerabilities list
  • Visa’s CISP y AIS
  • Mastercard’s SDP
  • American Express’ DSS
  • Estándares de seguridad DISC de Discover Card

 

DiliTrust también cumple con los criterios de seguridad prescritos por reglamentos y leyes como los siguientes:

  • Health Insurance Portability & Accountability Act (HIPAA)
  • Gramm-Leach-Bliley Act (GLBA)
  • Sarbanes-Oxley Act (SOA)
  • Government Information Security Reform Act (GISRA)
  • Canada’s Personal Information Protection and Electronic Documents Act