Inicio > Centro de seguridad – Oneflow > Conformidad
Conformidad
Cómo hacemos que el cumplimiento sea perfecto en todo lo que construimos.
Privacidad por diseño y por defecto
Este principio es nuestra “estrella del norte” en el desarrollo de productos, que guía todo lo que construimos. Estas son algunas de las preguntas que siempre nos hacemos en cada decisión de desarrollo de producto que tomamos:
- Información sensible – ¿El código expone alguna información sensible?
- Establecer el contexto – ¿Cumple la finalidad del código los parámetros de riesgo aceptables?
- Dificultar la intrusión – ¿Todos los aspectos del código y del sistema son difíciles de comprometer? ¿Influye negativamente el nuevo código en el código preexistente?
- Dificultar la interrupción – ¿El sistema y el código son resistentes y no susceptibles a ataques de denegación de servicio y picos de uso?
- Facilitar la detección de intrusos – ¿Están el código y el sistema diseñados para permitir que se advierta fácilmente cualquier actividad sospechosa, por ejemplo, se han establecido un registro y una supervisión adecuados?
- Reducción del impacto de la intrusión – ¿Está el sistema desarrollado para minimizar el impacto de una intrusión? ¿Está estructurada la funcionalidad para evitar conexiones innecesarias a otras partes del sistema?
- Protección contra vulnerabilidades comunes – ¿Se desarrollan sistemas seguros contra la mayoría de las vulnerabilidades, por ejemplo, las 10 principales de OWASP?
Tus datos son nuestra responsabilidad
Oneflow cuenta con una Política exhaustiva de Continuidad de Negocio y Recuperación ante Desastres que se revisa anualmente o cada vez que se realizan cambios significativos.
Oneflow está construido con redundancia en cada capa de su infraestructura. La plataforma, las bases de datos, el almacenamiento y los servicios auxiliares están alojados en múltiples zonas de disponibilidad en Irlanda, UE, para permitir fallos esporádicos sin pérdida de disponibilidad, funcionalidad o datos de los clientes. Los registros del sistema y los registros de autenticación se almacenan durante 90 días (incluidos 30 días de copia de seguridad externa). También se realizan copias de seguridad a intervalos regulares y se almacenan en centros de datos de Suecia.
Oneflow es una plataforma segura con capacidades de búsqueda, seguimiento y control. Los datos personales están seguros en un solo lugar, en lugar de estar dispersos por correo electrónico, servidores y discos duros. Los datos de los clientes (incluidos los datos personales) procesados y almacenados en Oneflow son confidenciales y sólo el cliente tiene acceso a ellos.
Cifrado
Los datos se cifran en tránsito y en reposo; se utiliza TLS 1.2 para cifrar los datos en tránsito, desde la Internet pública a nuestros puntos de borde CDN, hasta llegar a nuestra red interna antes de ser procesados. Las bases de datos, los servidores y el almacenamiento de archivos también cifran los datos antes de almacenarlos en reposo, utilizando un cifrado de última generación con el algoritmo AES 256.
Políticas
Oneflow está alineado con la norma ISO 27001, el marco NIST y cuenta con una serie de políticas, procedimientos y directrices internas. Éstos forman nuestro Sistema de Gestión de la Seguridad de la Información y rigen nuestro enfoque de la seguridad y la privacidad. A continuación se muestra una selección de nuestras políticas.
• Política de seguridad de la información
• Política de uso aceptable
• Política de gestión de cambios
• Política de desmantelamiento y destrucción
• Política de gestión de riesgos para la seguridad de la información
• Procedimiento de gestión de incidentes de seguridad de la información
• Política de continuidad de la actividad y recuperación en caso de catástrofe
• Política de seguridad de proveedores
• Política de desarrollo seguro
• Política laboral
Ponte en contacto con nosotros si deseas revisar en detalle cualquiera de nuestras políticas.
Modelo de responsabilidad compartida
Para que Oneflow pueda proporcionar una plataforma segura, la seguridad y el cumplimiento se comparten entre Oneflow y el cliente. El objetivo del modelo de responsabilidad compartida es permitir que Oneflow se centre en proporcionar una plataforma segura a sus clientes, al tiempo que permite a los clientes participar de forma proactiva en la protección de sus activos.
Responsabilidad de Oneflow
Oneflow es responsable de la seguridad de la plataforma, la infraestructura y la red utilizadas para prestar el servicio. Para mantener la confidencialidad, integridad y disponibilidad de los datos almacenados y procesados por Oneflow, los datos se encriptan durante el tránsito y en reposo. Se aplican actualizaciones periódicas a la aplicación para garantizar el máximo nivel de protección en todo momento. Además, la plataforma Oneflow está alojada en múltiples ubicaciones separadas geográficamente, lo que da lugar a un servicio fiable redundante.
Oneflow también se encarga de ofrecer una amplia gama de funcionalidades de mejora de la seguridad para permitir una mayor protección de los activos más importantes de los clientes. Esta funcionalidad puede activarse para el panorama de riesgos, los requisitos operativos y las obligaciones de cumplimiento adecuados.
Responsabilidad del cliente
Los clientes son responsables de la seguridad de la aplicación Oneflow en relación con los elementos bajo su control. Por ejemplo, los clientes son responsables de garantizar que los datos de autenticación, como las contraseñas, se mantengan seguros y no se expongan a personas no autorizadas.
Oneflow proporciona una amplia gama de funcionalidades de seguridad, sin embargo, es responsabilidad del cliente hacer uso de dichas funcionalidades, por ejemplo la autenticación en dos pasos, el inicio de sesión único y las políticas de retención de datos. El acceso a los contratos puede ser controlado por el cliente mediante el uso de permisos avanzados basados en roles y, como tal, el cliente es responsable de asegurarse de que los permisos se conceden sólo a aquellos que requieren acceso dentro de la organización. Además, es responsabilidad del cliente asegurarse de que el contrato se envía al destinatario correcto.
Los contratos que hayan sido descargados o exportados fuera de la plataforma Oneflow son responsabilidad exclusiva del cliente; éste podrá seguir accediendo al contrato dentro de Oneflow siempre y cuando no haya sido eliminado por el cliente.