Compromiso de Seguridad en Metadrop

Nuestro compromiso con la seguridad y la privacidad

Nos tomamos enserio los temas de seguridad y privacidad en Metadrop, y los colocamos como una alta prioridad en nuestro funcionamiento diario.

Este documento técnico describe la perspectiva de Metadrop sobre la seguridad y el cumplimiento, y destaca las medidas que tomamos para mantenernos seguros y en cumplimiento. Se centra en los controles de seguridad y detalla los procesos  de cómo Metadrop protege los datos de nuestros clientes.

La seguridad es nuestra prioridad

Nuestro objetivo es crear una cultura de seguridad sólida entre todos los empleados de Metadrop. Creemos firmemente que cada empleado es una parte esencial de nuestra defensa contra posibles violaciones de seguridad.

Esta cultura tiene un fuerte impacto en todos los empleados y está presente durante el proceso de contratación, incorporación de empleados y como parte de la formación continua de los empleados. Todos nuestros empleados deben estar familiarizados con nuestras políticas de seguridad y recibir capacitación en seguridad como parte del proceso de incorporación y recibir capacitación de seguridad regular durante su estadía aquí en Metadrop. Durante el proceso de incorporación, los nuevos empleados aceptan nuestro NDA y pasan por la capacitación de seguridad. Esto demuestra nuestro compromiso de mantener seguros los datos de nuestros clientes .

Todos los empleados que trabajan en Metadrop deben seguir nuestra política de bloqueo y seguridad de contraseña, usar autenticación segura (dos factores, HTTPS, etc.), tener discos duros encriptados, tener una conexión Wi-Fi segura y estar conectados por VPN cuando conectarse de forma remota.

Prácticas de desarrollo de seguridad

Los desarrolladores de Metadrop en el segmento de TI reciben instrucciones sobre temas que incluyen codificación limpia (por ejemplo, PHPcs, PHPcpc, PHPmd) y mejores prácticas de desarrollo (por ejemplo,  Drupal coder) , y el principio de privilegio mínimo (p. ej., roles, usuarios, permisos) al otorgar derechos de acceso. El departamento de TI también observa varios canales relacionados con la seguridad para estar actualizado sobre cualquier amenazas o malas prácticas.

Supervisión de seguridad

El equipo de seguridad de Metadrop es responsable de monitorizar cualquier actividad sospechosa, abordar las amenazas de ciberseguridad y realizar controles de salud y auditorías regulares.

Además, nuestro equipo tiene la tarea de supervisar el cumplimiento del RGPD y otras leyes de protección de datos, nuestras políticas de protección de datos, la sensibilización, la formación y las auditorías del RGPD.

Gestión de seguridad

Endpoint Security

Nos encargamos de que todos nuestros dispositivos de punto final estén protegidos de acuerdo con nuestra Política de seguridad de punto final. Esto incluye que todos nuestros dispositivos terminales tienen cifrado de disco , protección contra software malicioso , acceso de invitado inhabilitado y tienen un sistema operativo actualizado periódicamente. Además, realizamos controles continuos para asegurarnos de mantener este alto nivel de seguridad.

Gestión de vulnerabilidades

Metadrop tiene una política de gestión de vulnerabilidades que incluye procesos como análisis web regulares (por ejemplo, DAST basado en Oswap, observatorio Mozilla) y supervisión de listas de seguridad (por ejemplo, la lista de seguridad de Drupal) para detectar posibles amenazas. Una vez que se ha identificado una vulnerabilidad que requiere nuestra atención, se le da seguimiento, se le da una prioridad de acuerdo con su urgencia y se asigna a las personas relevantes como un ticket. Nuestro equipo de seguridad realiza un seguimiento de estos problemas y realiza un seguimiento periódico hasta que puedan verificar que se hayan resuelto.

Disponibilidad

Contamos con proveedores de primer nivel para la asignación de nuestros proyectos, trabajamos con plataformas de hosting como Acquia , OVH, o Hetzner; herramientas de gestión de proyectos como Asana , Jira o Trello y proveedores de repositorio para almacenar código como GitLab , GitHub o Bitbucket .

Todos proveedores tienen un entorno distribuido geográficamente para respaldar la disponibilidad de los servicios. Los datos se distribuyen entre una infraestructura de alta disponibilidad, diseñada para almacenar cantidades extremadamente grandes de datos en muchos servidores.

Gestión de incidencias

Metadrop tiene un proceso de gestión de incidentes bien definido para eventos de seguridad que pueden afectar la confidencialidad, integridad o disponibilidad de los recursos o datos de nuestro cliente. Si ocurre un incidente, el equipo de seguridad lo identifica, lo reporta, lo asigna al solucionador correcto y le da una prioridad de resolución en función de su urgencia. A los eventos que afectan directamente a nuestros clientes siempre se les asigna la máxima prioridad y el tiempo de resolución más corto . Este proceso incluye planes de acción, procedimientos de identificación , escalamiento , mitigación y informes .

Garantía de calidad

Es vital para nosotros probar adecuadamente todas las funciones nuevas antes de implementarlas para asegurarnos de que no se introduzcan vulnerabilidades inesperadas en la aplicación. El equipo de control de calidad garantiza que todas las nuevas incorporaciones a nuestra aplicación están libres de errores antes de su lanzamiento. También prueban nuevas instancias privadas para nuestros nuevos clientes justo antes de que lleguen a manos de nuestro equipo de Servicios al Cliente.

Trazabilidad

Todos nuestros procesos están registrados, usamos Control Version Systems (por ejemplo, GIT), Ticketing System (por ejemplo, JIRA, Asana) y aplicación de servidor registros que se revisan periódicamente para detectar cualquier posible problema.

Protección de los datos de nuestros clientes

Cifrado de datos

Siempre que almacenamos datos lo hacemos en proveedores externos, generalmente contratados directamente por el cliente, que tienen varias capas de cifrado.

Cumple con GDPR

Metadrop ayuda a nuestros clientes a encontrar las mejores formas y herramientas para cumplir con el RGPD. 

Actualizado: septiembre de 2021

 

Certificación del Esquema Nacional de Seguridad (ENS)

Metadrop ostenta con orgullo la certificación bajo el Esquema Nacional de Seguridad de España (ENS). Contar con la certificación ENS demuestra que Metadrop cumple con los requisitos más exigentes para proteger la información y los servicios, tanto de clientes del sector público como de organizaciones privadas.

Esta certificación se aplica a todos los organismos del Sector Público y a los proveedores que les prestan apoyo, ofreciendo un marco común de principios, requisitos y medidas de seguridad.

El ENS tiene como objetivo garantizar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación a largo plazo de la información gestionada por medios electrónicos.

Está alineado estrechamente con normas europeas, entre las que se incluyen:

  • RGPD (Reglamento General de Protección de Datos)
  • Directivas NIS y NIS2 (seguridad de redes y de la información)
  • Normas internacionales como ISO 27001 e ISO 27002
  • Buenas prácticas de ENISA (Agencia de la Unión Europea para la Ciberseguridad)

El marco ENS evoluciona constantemente, con actualizaciones importantes en 2015 y, más recientemente, bajo el Real Decreto 311/2022.
 

Certificado ENS
distintivo_ens_certificacion

Prácticas de desarrollo de seguridad

Nuestros desarrolladores reciben formación no solo en concienciación sobre seguridad, sino también en técnicas prácticas de codificación segura. Enfatizamos:

  • Estándares de codificación limpia (PHPcs, PHPcpc, PHPmd)
  • Mejores prácticas de desarrollo (Drupal Coder)
  • Principio de menor privilegio al establecer roles, permisos y derechos de acceso

El departamento de TI supervisa continuamente canales de seguridad de confianza para adelantarse a las amenazas emergentes y vulnerabilidades.

Supervisión de seguridad

El equipo de seguridad de Metadrop supervisa activamente cualquier actividad sospechosa, evalúa riesgos y realiza comprobaciones regulares del estado del sistema y auditorías.

También supervisan el cumplimiento del RGPD, imparten sesiones de formación y garantizan que las políticas internas de protección de datos se apliquen siempre.

Gestión de seguridad

Seguridad de endpoints

Todos los dispositivos endpoint están protegidos de acuerdo con nuestra Política de Seguridad de Endpoint, incluyendo:

  • Cifrado de disco
  • Protección contra malware
  • Deshabilitación del acceso de invitados
  • Actualizaciones periódicas del sistema operativo

Realizamos auditorías continuas para mantener altos estándares de seguridad en todos los dispositivos.

Gestión de vulnerabilidades

Nuestro proceso incluye:

  • Escaneos web regulares (utilizando herramientas como DAST basado en OWASP, Mozilla Observatory)
  • Supervisión de boletines de seguridad (p. ej., Drupal Security List)
  • Seguimiento, emisión de tickets y resolución priorizada de cualquier vulnerabilidad detectada

Disponibilidad

Metadrop confía en proveedores de primer nivel como Acquia, OVH, Hetzner, GitLab, GitHub y Bitbucket. Sus infraestructuras distribuidas a nivel mundial garantizan alta disponibilidad, redundancia y resiliencia para proyectos alojados.

Gestión de incidentes

Nuestro proceso de respuesta a incidentes incluye:

  • Identificación e informe inmediatos
  • Asignación de responsables para la resolución
  • Priorización basada en la urgencia
  • Escalamiento, mitigación e informes transparentes a los clientes afectados

Los incidentes que afectan a los clientes siempre se gestionan con la máxima urgencia.

Aseguramiento de la calidad

Todas las funciones y actualizaciones se someten a rigurosas pruebas de QA para eliminar vulnerabilidades antes de su lanzamiento. El equipo de QA también valida nuevas instancias privadas antes de entregarlas a los servicios de atención al cliente.

Trazabilidad

Registramos todas las actividades de desarrollo y operativas utilizando:

  • Sistemas de control de versiones (p. ej., Git)
  • Sistemas de tickets (p. ej., Jira, Asana)
  • Revisiones periódicas de registros de aplicaciones de servidor

Protección de los datos de nuestros clientes

Cifrado de datos

Almacenamos datos con proveedores externos, normalmente contratados por los clientes, garantizando que estén protegidos con múltiples capas de cifrado.

Cumplimiento del RGPD

Ayudamos activamente a los clientes a elegir las mejores herramientas y prácticas para cumplir con las obligaciones del RGPD y proteger los datos personales.

Actualizado: mayo de 2025

Valores