Compromiso de Seguridad en Metadrop
Nuestro compromiso con la seguridad y la privacidad
Nos tomamos enserio los temas de seguridad y privacidad en Metadrop, y los colocamos como una alta prioridad en nuestro funcionamiento diario.
Este documento técnico describe la perspectiva de Metadrop sobre la seguridad y el cumplimiento, y destaca las medidas que tomamos para mantenernos seguros y en cumplimiento. Se centra en los controles de seguridad y detalla los procesos de cómo Metadrop protege los datos de nuestros clientes.
La seguridad es nuestra prioridad
Nuestro objetivo es crear una cultura de seguridad sólida entre todos los empleados de Metadrop. Creemos firmemente que cada empleado es una parte esencial de nuestra defensa contra posibles violaciones de seguridad.
Esta cultura tiene un fuerte impacto en todos los empleados y está presente durante el proceso de contratación, incorporación de empleados y como parte de la formación continua de los empleados. Todos nuestros empleados deben estar familiarizados con nuestras políticas de seguridad y recibir capacitación en seguridad como parte del proceso de incorporación y recibir capacitación de seguridad regular durante su estadía aquí en Metadrop. Durante el proceso de incorporación, los nuevos empleados aceptan nuestro NDA y pasan por la capacitación de seguridad. Esto demuestra nuestro compromiso de mantener seguros los datos de nuestros clientes .
Todos los empleados que trabajan en Metadrop deben seguir nuestra política de bloqueo y seguridad de contraseña, usar autenticación segura (dos factores, HTTPS, etc.), tener discos duros encriptados, tener una conexión Wi-Fi segura y estar conectados por VPN cuando conectarse de forma remota.
Prácticas de desarrollo de seguridad
Los desarrolladores de Metadrop en el segmento de TI reciben instrucciones sobre temas que incluyen codificación limpia (por ejemplo, PHPcs, PHPcpc, PHPmd) y mejores prácticas de desarrollo (por ejemplo, Drupal coder) , y el principio de privilegio mínimo (p. ej., roles, usuarios, permisos) al otorgar derechos de acceso. El departamento de TI también observa varios canales relacionados con la seguridad para estar actualizado sobre cualquier amenazas o malas prácticas.
Supervisión de seguridad
El equipo de seguridad de Metadrop es responsable de monitorizar cualquier actividad sospechosa, abordar las amenazas de ciberseguridad y realizar controles de salud y auditorías regulares.
Además, nuestro equipo tiene la tarea de supervisar el cumplimiento del RGPD y otras leyes de protección de datos, nuestras políticas de protección de datos, la sensibilización, la formación y las auditorías del RGPD.
Gestión de seguridad
Endpoint Security
Nos encargamos de que todos nuestros dispositivos de punto final estén protegidos de acuerdo con nuestra Política de seguridad de punto final. Esto incluye que todos nuestros dispositivos terminales tienen cifrado de disco , protección contra software malicioso , acceso de invitado inhabilitado y tienen un sistema operativo actualizado periódicamente. Además, realizamos controles continuos para asegurarnos de mantener este alto nivel de seguridad.
Gestión de vulnerabilidades
Metadrop tiene una política de gestión de vulnerabilidades que incluye procesos como análisis web regulares (por ejemplo, DAST basado en Oswap, observatorio Mozilla) y supervisión de listas de seguridad (por ejemplo, la lista de seguridad de Drupal) para detectar posibles amenazas. Una vez que se ha identificado una vulnerabilidad que requiere nuestra atención, se le da seguimiento, se le da una prioridad de acuerdo con su urgencia y se asigna a las personas relevantes como un ticket. Nuestro equipo de seguridad realiza un seguimiento de estos problemas y realiza un seguimiento periódico hasta que puedan verificar que se hayan resuelto.
Disponibilidad
Contamos con proveedores de primer nivel para la asignación de nuestros proyectos, trabajamos con plataformas de hosting como Acquia , OVH, o Hetzner; herramientas de gestión de proyectos como Asana , Jira o Trello y proveedores de repositorio para almacenar código como GitLab , GitHub o Bitbucket .
Todos proveedores tienen un entorno distribuido geográficamente para respaldar la disponibilidad de los servicios. Los datos se distribuyen entre una infraestructura de alta disponibilidad, diseñada para almacenar cantidades extremadamente grandes de datos en muchos servidores.
Gestión de incidencias
Metadrop tiene un proceso de gestión de incidentes bien definido para eventos de seguridad que pueden afectar la confidencialidad, integridad o disponibilidad de los recursos o datos de nuestro cliente. Si ocurre un incidente, el equipo de seguridad lo identifica, lo reporta, lo asigna al solucionador correcto y le da una prioridad de resolución en función de su urgencia. A los eventos que afectan directamente a nuestros clientes siempre se les asigna la máxima prioridad y el tiempo de resolución más corto . Este proceso incluye planes de acción, procedimientos de identificación , escalamiento , mitigación y informes .
Garantía de calidad
Es vital para nosotros probar adecuadamente todas las funciones nuevas antes de implementarlas para asegurarnos de que no se introduzcan vulnerabilidades inesperadas en la aplicación. El equipo de control de calidad garantiza que todas las nuevas incorporaciones a nuestra aplicación están libres de errores antes de su lanzamiento. También prueban nuevas instancias privadas para nuestros nuevos clientes justo antes de que lleguen a manos de nuestro equipo de Servicios al Cliente.
Trazabilidad
Todos nuestros procesos están registrados, usamos Control Version Systems (por ejemplo, GIT), Ticketing System (por ejemplo, JIRA, Asana) y aplicación de servidor registros que se revisan periódicamente para detectar cualquier posible problema.
Protección de los datos de nuestros clientes
Cifrado de datos
Siempre que almacenamos datos lo hacemos en proveedores externos, generalmente contratados directamente por el cliente, que tienen varias capas de cifrado.
Cumple con GDPR
Metadrop ayuda a nuestros clientes a encontrar las mejores formas y herramientas para cumplir con el RGPD.
Actualizado: septiembre de 2021