Introducción
La información y los sistemas de información de Vtiger son activos valiosos y deben protegerse. Esto se logra mediante la implementación de marcos de seguridad adecuados para gestionar los riesgos para Vtiger y garantizar la continuidad del negocio al evitar incidentes de seguridad y reducir su impacto potencial.
Seguridad Organizacional
Las políticas y procedimientos se definen e implementan en todos los dominios y procesos comerciales. Las políticas se utilizan para probar los controles y proteger la confidencialidad, disponibilidad e integridad de la información y los recursos de información de Vtiger.
Verificación de empleados
Cada empleado es examinado antes de unirse formalmente a la empresa. Vtiger emplea a un proveedor externo externo para llevar a cabo una verificación de antecedentes que incluye la verificación de antecedentes penales, registros de empleo anteriores, si los hay, y antecedentes educativos.
Formación y sensibilización.
El contenido de conciencia de seguridad se crea y circula entre diferentes equipos para garantizar que los empleados de Vtiger conozcan las políticas de seguridad de la información, las amenazas emergentes y los vectores de ataque comunes. Además de esto, se realizan sesiones de concientización sobre seguridad para crear conciencia sobre las amenazas, las prácticas de seguridad y las políticas de la empresa.
Seguridad Física
La seguridad corporativa de Vtiger es responsable de proteger los activos de Vtiger en ubicaciones físicas. Vtiger monitorea las instalaciones con cámaras de CCTV, el material de respaldo está disponible hasta cierto período, dependiendo de los requisitos para esa ubicación. El acceso a las instalaciones se otorga mediante el uso de identificación biométrica y de tarjetas de acceso.
En el caso de los recursos en la nube (como AWS, DigitalOcean, OVH), los ISP en la nube son responsables de asegurar los activos y mantener los controles de seguridad adecuados. Más detalles sobre cómo se pueden encontrar los controles de seguridad del ISP aquí.
Seguridad operacional
Estas prácticas se centran en monitorear los sistemas de comunicación en tiempo real para detectar amenazas activas y procedimientos para mantener protegidos los sistemas de información.
Registro y monitoreo
La infraestructura y las aplicaciones se monitorean las 24 horas del día, los 7 días de la semana con herramientas propietarias y empresariales. Monitoreamos el tráfico interno en nuestra red y el uso de dispositivos y terminales. Registramos registros de eventos, registros de auditoría, registros de fallas, registros de administrador y registros de operadores, y estos registros se analizan para detectar anomalías e incidentes. Estos registros se almacenan de forma segura en una capacidad aislada.
Evaluación de vulnerabilidad
Vtiger también emplea un equipo de seguridad para descubrir y abordar vulnerabilidades dentro de nuestro software, así como para incentivar a nuestros miembros de la comunidad más amplia de seguridad de software a identificar y reportar vulnerabilidades.
Información
Vtiger toma copias de seguridad de bases de datos y archivos de cada instancia de cliente todos los días. Esta copia de seguridad se almacena en un servidor separado para proteger contra el riesgo de falla del hardware. En el caso de tal falla, el acceso a los datos y al servicio se puede restaurar en 8 horas.
Parches de seguridad
Vtiger realiza un mantenimiento preventivo para proteger contra posibles vulnerabilidades mediante la implementación de parches a medida que se desarrollan internamente o de otra manera están disponibles.
Seguridad de datos
Los datos son clave para el negocio y para mantener la confidencialidad, disponibilidad e integridad de los datos todo el tiempo, seguimos pautas estrictas que giran en torno a nuestra arquitectura, desarrollo y operaciones.
Prácticas de ingeniería
Los equipos de ingeniería siguen las pautas de codificación segura, así como la revisión / detección manual del código antes de que se implemente en la producción.
Las pautas de codificación segura se basan en los estándares de OWASP y se implementan en consecuencia para proteger contra amenazas comunes y vectores de ataque (como inyección SQL, scripting de sitios cruzados) dentro de la capa de aplicación.
Aislamiento de datos
Vtiger sigue la arquitectura de un solo inquilino, por lo tanto, cada instancia tiene su propio espacio separado asignado. Estas instancias desconocen todas las demás instancias y, por lo tanto, se ejecutan por separado.
Cifrado
In Transit
Todos los datos transferidos entre su navegador y los servidores de Vtiger están protegidos con el estándar de la industria TLS 1.2 / 1.3. Esto incluye aplicaciones web, API, aplicaciones móviles y acceso de cliente de correo electrónico IMAP / POP / SMTP.
Hemos habilitado configuraciones seguras como el secreto directo perfecto (PFS) y el encabezado HTTP Strict Transport Security (HSTS) a todo nuestro tráfico web, esto obliga al navegador a conectarse solo a través de un canal de comunicación encriptado.
En reposo
Los discos de almacenamiento de todos los servidores se cifran mediante el cifrado a nivel de disco.
Los datos del cliente que utilizan campos confidenciales se cifran con el Estándar de cifrado avanzado (AES) de 256 bits, utilizamos el Servicio de administración de claves (KMS) de AWS para la administración de claves.
Las copias de seguridad se cifran con AES-256 en AWS S3.
Retención y eliminación de datos.
Retenemos los datos de los clientes siempre que sean suscriptores activos del servicio, en caso de cancelación o inactividad, las siguientes reglas garantizan la eliminación de datos.
Para las cuentas de prueba que no inician una suscripción paga, los datos se eliminan 12 días después de que finaliza la prueba.
Para las cuentas pagas que se cancelan, los datos se eliminan 90 días después de la fecha de cancelación de la cuenta.
Para las cuentas pagadas que tienen una falla de pago, la cuenta se suspenderá dentro de los días 15 y se cerrará después de los días 90. Todos los datos serán eliminados 1 semana después del cierre de la cuenta.
Para cuentas gratuitas, los datos se eliminan después de 60 días de inactividad de la cuenta.
Los datos de facturación utilizados para la generación de facturas se conservan durante 7 años con fines comerciales.
Ubicación de datos
Los servidores de Vtiger están ubicados en Estados Unidos, Reino Unido, Unión Europea (Irlanda, Frankfurt), Australia, Singapur, Japón e India. El servidor en el que se almacenan sus datos depende de la región en la que se encuentra en el momento en que comienza su prueba gratuita de Vtiger.
Gestión de Incidentes
Proceso que describe las actividades de una organización para identificar, analizar y corregir los peligros para evitar que vuelva a ocurrir en el futuro. Si no se gestiona, un incidente puede convertirse en una emergencia, crisis o desastre.
Informes
Vtiger toma copias de seguridad de bases de datos y archivos de cada instancia de cliente todos los días. Esta copia de seguridad se almacena en un servidor separado para proteger contra el riesgo de falla del hardware. En el caso de tal falla, el acceso a los datos y al servicio se puede restaurar en 8 horas.
Los equipos dedicados son responsables de observar los diferentes incidentes que ocurren dentro del entorno que se aplica a usted, seguimos las acciones obligatorias de manejarlo e informarlo. Hacemos un seguimiento de la causa raíz del problema y tomamos medidas de precaución para evitar esto en el futuro. Se implementan medidas y controles adicionales para mitigar situaciones similares.
Notificación de incumplimiento
Si se descubre una violación en el nivel de servicio, Vtiger alertará a sus clientes y a las autoridades interesadas dentro de las 72 horas posteriores al descubrimiento.