Política de Seguridad de la Información de ZenduIT

Escrito por Maria Daniela

Propósito

Esta Política de Seguridad de la Información describe los métodos y responsabilidades para proteger los datos dentro de nuestro ecosistema de aplicaciones. Garantizar la confidencialidad, integridad y disponibilidad de los datos es fundamental para mantener la confianza y cumplir con los estándares de la industria.

Alcance

Esta política se aplica a todos los datos almacenados en los buckets de Google Cloud Platform (GCP) y en las instancias de MongoDB Cloud que forman parte del ecosistema de la aplicación. Incluye a todo el personal que crea, gestiona o interactúa con estos datos.

Cifrado de Datos y Criptografía

En reposo:

  1. Buckets de Google Cloud Platform (GCP): Todos los datos almacenados en los buckets de GCP están cifrados en reposo utilizando métodos de cifrado estándar de la industria para proteger los datos del acceso no autorizado.

  2. MongoDB Cloud: Los datos almacenados en MongoDB Cloud están cifrados en reposo utilizando cifrado AES-256-CBC, lo que garantiza una seguridad sólida contra violaciones de datos no autorizadas.

En tránsito:

  • Todos los datos transmitidos a través de redes están cifrados utilizando protocolos HTTPS y estándares de cifrado AES-256 para prevenir la interceptación por entidades no autorizadas.

Replicación de Datos, Continuidad del Negocio y Recuperación ante Desastres

Los datos se replican en múltiples regiones geográficas tanto en los buckets de GCP como en MongoDB Cloud. Esta estrategia de replicación respalda nuestro Plan de Continuidad del Negocio (BCP) y Plan de Recuperación ante Desastres (DRP), asegurando la disponibilidad y durabilidad de los datos ante fallas regionales o eventos catastróficos.

Control de Acceso

  1. El acceso a los datos dentro de GCP y MongoDB Cloud está estrictamente gobernado por sistemas de control de acceso basado en roles (RBAC). Los permisos se otorgan bajo el principio de menor privilegio, asegurando que las personas solo tengan acceso a los datos necesarios para sus funciones.

  2. Se realiza un monitoreo continuo de los patrones de acceso para asegurar el cumplimiento de esta política e identificar intentos de acceso no autorizado.

Monitoreo y Cumplimiento

  1. Se realizan auditorías trimestrales para garantizar que los protocolos de cifrado y los controles de acceso estén protegiendo eficazmente los datos dentro de nuestro ecosistema.

  2. Cualquier desviación de las prácticas esperadas de cifrado y control de acceso será registrada e investigada como un posible incidente de seguridad.

Respuesta ante Incidentes

  1. Existe un protocolo de respuesta a incidentes predefinido para abordar posibles violaciones de seguridad o exposiciones de datos. Este protocolo incluye pasos para contención, erradicación, recuperación y análisis post-incidente para evitar recurrencias.

  2. Todos los incidentes deben ser reportados inmediatamente al equipo de seguridad al ser detectados.

  3. La política de incidentes puede consultarse en el siguiente enlace:
    https://connect.zoho.com/portal/intranet/manual/platform-technical-organizational-data-security/article/cryptography-encryption

Aplicación de la Política

  1. El Equipo de Seguridad es responsable de hacer cumplir esta política. El incumplimiento de esta política puede resultar en acciones disciplinarias, incluida la terminación del contrato de trabajo.

  2. Los empleados deben participar en programas de concientización y formación en seguridad para comprender sus responsabilidades bajo esta política.

Revisión y Revisión

  1. Esta política será revisada anualmente o en respuesta a cambios significativos en el panorama tecnológico, la estructura organizativa o los requisitos de cumplimiento.

  2. Cualquier enmienda a esta política será documentada y comunicada a todas las partes afectadas.

Aprobación e Implementación

Esta política está aprobada por la dirección y entra en vigor de inmediato. Todas las prácticas existentes y nuevas de almacenamiento y procesamiento de datos deben cumplir con esta política sin excepción.
Cualquier cambio a esta política será comunicado oportunamente.