Seguridad
Los productos y la infraestructura de BetterNow han sido diseñados con un enfoque sólido en la seguridad. Confiarás en nosotros los datos personales de tus colaboradores, y no tomamos esa responsabilidad a la ligera.
La seguridad de los datos de tus colaboradores es el factor más importante en cualquier decisión que tomamos sobre nuestros productos e infraestructura.
A continuación, detallamos algunas de las medidas de seguridad que implementamos para proteger los datos de tus colaboradores.
Sin contraseñas
Utilizamos enlaces de acceso enviados al correo electrónico del usuario para iniciar sesión. Estos enlaces son válidos solo por un corto período de tiempo.La seguridad depende de la protección existente en el buzón de correo del usuario, en lugar de añadir una segunda contraseña. La autenticación multifactor (MFA) es obligatoria para todos nuestros empleados en todos los sistemas, así como para los usuarios administradores de nuestros clientes.
Verificación de cuentas de usuario
Todos los usuarios deben validar sus cuentas a través de un enlace enviado en un correo electrónico automatizado.
Protección contra ataques
Tenemos un proxy delante de la aplicación que bloquea muchas clases de ataques.Además, aplicamos limitaciones de velocidad a todas las solicitudes y reducimos aún más el límite en los puntos de acceso sensibles (como el inicio de sesión y los cambios de contraseña) para proteger contra ataques de tipo credential-stuffing.
Eliminación permanente
Los usuarios pueden eliminar sus propias iniciativas desde la plataforma de autoservicio si cuentan con los derechos de acceso necesarios. La plataforma de autoservicio proporciona todas las funciones necesarias para que los usuarios eliminen datos y cumplan con el GDPR.
Almacenamiento de datos personales
Todos los datos personales se almacenan en la región de la UE.
Alta disponibilidad
Garantizamos alta disponibilidad mediante pruebas automatizadas y manuales, monitoreo de producción, registro y alertas, implementaciones continuas rápidas y el uso de infraestructura en la nube basada en los estándares de la industria.
Alojamiento y almacenamiento de datos personales
Los servicios y datos del procesador se alojan en las instalaciones de Amazon Web Services (AWS) en la UE (EU-west-1).
Encriptación de datos personales
Los datos personales se cifran durante la transmisión entre BetterNow y el navegador utilizando Transport Layer Security (TLS).
En reposo: Los datos personales procesados en nombre de los clientes residen únicamente en el entorno de producción, cifrados con AES-256.
En tránsito: Toda comunicación de red utiliza TLS, estando cifrada y autenticada.
Escaneo de vulnerabilidades y parches de producción
Escaneamos nuestras dependencias en busca de vulnerabilidades conocidas varias veces al día (con cada cambio en la aplicación). Además, actualizamos todas las dependencias, incluso si no tienen problemas de seguridad, una vez al día. Mantenemos pruebas automatizadas para detectar problemas de seguridad como inyección SQL, cross-site scripting, entre otros.
Los parches críticos y de alta prioridad se incorporan y prueban tan pronto como el procesador de datos tiene conocimiento de ellos, incluidos los fines de semana y las noches. Los parches de menor prioridad se aplican y prueban durante los días laborales.
Las actualizaciones de sistema operativo en la infraestructura son gestionadas directamente por AWS y se aplican diariamente.
Política de copias de seguridad y registro
Nuestros procesos de respaldo garantizan la consistencia de los datos e información bajo los más altos estándares.Utilizamos Heroku para realizar copias de seguridad de las bases de datos que contienen datos personales. Los datos se respaldan de forma continua, además de copias de seguridad externas realizadas diariamente. A nivel de aplicación, almacenamos registros de actividad en una solución de registro centralizada.
Respuesta ante incidentes
Actualizamos de forma transparente a nuestros clientes durante los incidentes a través de nuestro sitio web de estado y directamente por nuestro sistema de soporte.
Cumplimos las reglas de notificación del GDPR: la notificación a la autoridad danesa ('Datatilsynet') se realiza en un máximo de 72 horas, y notificamos a todos los controladores de datos lo antes posible tras la evaluación inicial.
Monitoreo, registro y trazabilidad
Registramos cada acción realizada por los usuarios en el sistema, generando un historial completo de auditoría. Todos los registros se envían a una solución de gestión de registros centralizada con detección de anomalías y alertas configuradas.
Entrega continua
Seguimos una metodología ágil de ciclo de vida de desarrollo de software y procedimientos de gestión de cambios de última generación. El método de implementación utilizado por BetterNow no requiere tiempo de inactividad para la aplicación.
PersonnelAcceso basado en roles
Los niveles de acceso de los empleados del procesador de datos se determinan según su rol y siguen el principio de menor privilegio.
Acceso seguro
El procesador de datos utiliza inicio de sesión único (SSO), políticas estrictas de contraseñas y redes privadas virtuales (VPN) para garantizar el acceso seguro de los empleados al sistema.
Autenticación multifactor (MFA)
El procesador de datos exige autenticación multifactor para todos los accesos privilegiados y en todos los sistemas.
Seguridad en los dispositivos de los empleados
Todos los dispositivos de los empleados deben tener cifrado completo de disco, MFA obligatorio y cortafuegos activos tanto de entrada como de salida.
Todos los dispositivos deben contar con configuraciones de bloqueo automático lo más estrictas posible.Además, todos los empleados realizan actualizaciones diarias del sistema operativo y del navegador web.
Confidencialidad
Todos los contratos de empleados y contratistas incluyen cláusulas de confidencialidad.
Selección de proveedores
Todos los proveedores del procesador de datos ofrecen productos líderes en la industria y pasan por una evaluación de seguridad para garantizar que cumplan nuestros estándares de seguridad y cumplimiento.
VSA
El procesador de datos ha completado el cuestionario de autoevaluación principal de la Vendor Security Alliance (VSA), disponible bajo solicitud.
GDPR
El GDPR está integrado en los procesos empresariales, las políticas de seguridad y la formación de empleados del procesador de datos. La verificación del cumplimiento del GDPR forma parte de la evaluación de riesgos y de las auditorías internas.
BetterNow agradece las contribuciones que los investigadores de seguridad hacen a la mejora de la seguridad de nuestro software. Si crees que has descubierto una vulnerabilidad de seguridad en BetterNow, por favor contáctanos directamente a security@betternow.org. Puedes utilizar nuestra clave PGP si lo deseas.
BetterNow desea agradecer a las siguientes personas por informarnos sobre vulnerabilidades de seguridad y brindarnos el tiempo suficiente para corregirlas:
