Termly se compromete a satisfacer las necesidades de nuestros clientes en materia de protección y seguridad de datos. Esta página ofrece un resumen de nuestras prácticas y políticas, que nos ayudan a mantener su información personal a salvo y segura. Trabajamos duro para garantizar que nuestros sistemas e infraestructuras estén protegidos contra el acceso no autorizado o accidental, la pérdida, la alteración, la divulgación o la destrucción.
Autenticación
Se ha implantado una política uniforme de contraseñas para los productos de nuestros clientes:
También proporcionamos opciones de autenticación SSO mediante Google para que los usuarios puedan habilitar la autenticación multifactor utilizando esos métodos.
Los clientes que interactúan con los servicios de Termly a través de la interfaz de usuario deben autenticarse antes de poder acceder a los datos no públicos de los clientes.
Autorización
Guardamos los datos de los clientes en sistemas de almacenamiento seguros. Los usuarios no pueden acceder directamente a la infraestructura subyacente de la aplicación. El acceso a los datos confidenciales se basa en funciones (en función de la "necesidad de saber"), solo para fines específicos.
Separación de entornos
Separamos los entornos de desarrollo, pruebas y operativo para minimizar los riesgos de acceso no autorizado o cambios en el entorno operativo.
Acceso de los empleados
Un número limitado de nuestros empleados formados tiene acceso a los datos de los clientes a través de interfaces controladas. El objetivo de permitir el acceso a los empleados es proporcionar una atención al cliente eficiente, detectar y responder a incidentes de seguridad, solucionar posibles problemas y facilitar la seguridad de los datos.
A los empleados se les concede acceso según su función, y todas las solicitudes de acceso quedan registradas. Sólo unos pocos empleados designados tienen acceso a la infraestructura. Los empleados de Termly no tienen acceso físico a las bases de datos de los clientes. Todos los empleados reciben formación sobre privacidad y seguridad durante su proceso de incorporación y como requisito para seguir trabajando.
El acceso a datos críticos y sensibles se basa en funciones (en función de la "necesidad de saber"), sólo con fines de desempeño de las funciones de los servicios, y se revoca inmediatamente para los empleados despedidos.
Seguridad física y medioambiental
La infraestructura de nuestros productos se aloja en proveedores de infraestructuras subcontratados y multiusuario. Sus controles de seguridad física y medioambiental se someten a auditorías de un amplio conjunto de normas y reglamentos de cumplimiento.
Para más información, consulte https://aws.amazon.com/compliance/.
Tratamiento por terceros
Para poder ofrecer a nuestros clientes el Servicio de acuerdo con nuestra DPA, mantenemos relaciones contractuales con proveedores. Esto incluye acuerdos contractuales, políticas de privacidad y programas de cumplimiento de los proveedores. Durante el proceso de evaluación de proveedores, se comprueba que estos cumplen las normas de privacidad y seguridad.
Seguridad de la red
Los mecanismos de control de acceso a la red están diseñados para impedir que el tráfico de red que utiliza protocolos no autorizados llegue a la infraestructura del producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e incluyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de cortafuegos tradicionales. Hemos implantado una solución de cortafuegos de aplicaciones web (WAF) para proteger las aplicaciones accesibles desde Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.
Los datos se cifran durante la transferencia
Utilizamos protocolos de encriptación seguros, probados y contrastados, y desactivamos los obsoletos y vulnerables. Todo acceso al producto requiere conexiones seguras.
Cifrado de datos con contraseña
Los datos de la contraseña se almacenan como un hash unidireccional salado utilizando algoritmos modernos.
Detección
Hemos diseñado nuestra infraestructura para que registre amplia información sobre el comportamiento del sistema, el tráfico recibido, la autenticación del sistema y otras solicitudes de aplicaciones. Los sistemas internos agregan datos de registro y alertan a los empleados apropiados de actividades maliciosas, no intencionadas o anómalas. Nuestro personal, incluido el de seguridad, operaciones y soporte, responde ante incidentes conocidos.
Respuesta y seguimiento
Mantenemos un registro de los incidentes de seguridad conocidos que incluye descripciones, fechas y horas de las actividades relevantes, y la disposición del incidente. Los incidentes de seguridad sospechosos y confirmados son investigados por personal de seguridad, operaciones o soporte, y se identifican y documentan los pasos adecuados para su resolución. Para cualquier incidente confirmado, tomaremos las medidas adecuadas para minimizar los daños al producto y al cliente o la divulgación no autorizada. Notificaremos a nuestros clientes de acuerdo con condiciones de servicio.
Disponibilidad de infraestructuras
Termly está alojada en una infraestructura en la nube de AWS lógicamente separada y distribuida. Experimentamos periodos de inactividad cuando lo hace la infraestructura de AWS, pero son poco frecuentes y suelen limitarse a un puñado de servicios específicos.
Los equipos de infraestructura y software registran e investigan todos los incidentes de inactividad del sistema y la infraestructura, y se toman las medidas adecuadas y comercialmente razonables en respuesta a cada incidente. El estado actual, así como los incidentes recientes, pueden consultarse en https://status.staging.termly.io/.
Termly utiliza servicios de protección DDoS para evitar tiempos de inactividad por ataques maliciosos de denegación de servicio.
Tolerancia a fallos
Las estrategias de copia de seguridad y replicación están diseñadas para garantizar la redundancia y las protecciones de conmutación por error durante un fallo de procesamiento importante. Se realizan copias de seguridad de los datos de los clientes en varios almacenes de datos duraderos y se replican en varias zonas de disponibilidad.
Redundancia y conmutación por error sin fisuras
Las instancias de servidor y otros servicios que dan soporte a los productos se diseñan con el objetivo de evitar puntos únicos de fallo. Este diseño ayuda a nuestras operaciones a mantener y actualizar las aplicaciones de productos y el backend, limitando al mismo tiempo el tiempo de inactividad.
Continuidad de las actividades
Termly mantiene políticas y procedimientos para garantizar que Termly pueda seguir desempeñando funciones críticas para el negocio ante un acontecimiento extraordinario. Esto incluye procedimientos de resiliencia del centro de datos y de recuperación en caso de catástrofe para las funciones de procesamiento y los datos críticos para el negocio.
Git se utiliza para el control de versiones de repositorios privados y públicos. Cualquier fusión con la rama principal requiere la aprobación del equipo de ingeniería. Los cambios en el código se prueban mediante un conjunto de pruebas automatizadas y manuales. Esto incluye tanto el análisis estático del código como la ejecución de conjuntos de pruebas unitarias, funcionales y de integración con los artefactos. Las bases de datos de vulnerabilidades se revisan periódicamente y se evalúan en busca de nuevas vulnerabilidades para determinar si se aplican a nuestros sistemas/proveedores.
De conformidad con rgpd y la CCPA, Termly se compromete a tomar todas las precauciones adecuadas para preservar la privacidad y la seguridad de los datos y, en particular, para protegerlos contra cualquier destrucción accidental o ilícita, pérdida accidental, corrupción, circulación o acceso no autorizados, así como contra cualquier otra forma de tratamiento ilícito o divulgación a personas no autorizadas. Además del cumplimiento de la normativa, para atestiguar el compromiso de Termlycon el cumplimiento de las rigurosas normas del sector, actualmente nos estamos preparando para el proceso de auditoría SOC2.