Descripción de la seguridad de los servicios

Esta Descripción general de seguridad se incorpora y forma parte de las Condiciones de servicio de Keybe, tal y como se establece en el Acuerdo de Servicio que puede revisar aquí: https://keybe.ai/legales/#terminos-y-condiciones-de-servicio, y que usted ha aceptado al acceder a los servicios de Keybe. Éste Acuerdo entre Keybe y el Cliente denominaremos: «Contrato». En esta Descripción de la seguridad de los Servicios de Keybe, las referencias a «Keybe» se referirán colectivamente a:

KEYBE INC
2915 Biscayne Blvd. Suite 300
Miami, FL.
33137

y sus Afiliadas. Los términos «Cliente» se referirán a usted, el Cliente y sus Afiliadas.

Objetivo: Keybe se compromete a mantener la confianza del cliente. El propósito de esta Descripción de Seguridad es describir el programa de seguridad para los Servicios de Keybe («Servicios»). Esta Descripción de Seguridad describe los estándares mínimos de seguridad que Keybe mantiene para proteger los Datos del Cliente (como se define en el Acuerdo) del uso, acceso, divulgación, robo o manipulación no autorizados. Además de esta Descripción de Seguridad, la documentación de seguridad de la API de Keybe. A medida que las amenazas a la seguridad cambian y evolucionan, Keybe continúa actualizando su programa y estrategia de seguridad para ayudar a proteger los Datos del Cliente. Keybe se reserva el derecho de actualizar esta Descripción de Seguridad en cualquier momento; siempre, sin embargo, cualquier actualización no reducirá materialmente las protecciones generales establecidas en esta Descripción de Seguridad. Cualquier término en mayúsculas que no se defina en esta Descripción de Seguridad tendrá el significado dado en el Acuerdo de Privacidad
Servicios cubiertos: Esta Descripción de Seguridad describe la arquitectura, los controles administrativos, técnicos y físicos, así como las certificaciones de auditoría de seguridad de terceros que son aplicables a los Servicios. Las Ofertas Beta y cualquier servicio proporcionado por los proveedores de telecomunicaciones que participan en el enrutamiento, proveedores de diversos servicios y la conexión de las comunicaciones del Cliente no están cubiertos por esta Descripción de Seguridad.
Organización y programa de seguridad: Keybe mantiene un programa de seguridad de evaluación basado en el riesgo. El marco para el programa de seguridad de Keybe incluye salvaguardias administrativas, técnicas y físicas razonablemente diseñadas para proteger la confidencialidad, integridad y disponibilidad de los datos del cliente. El programa de seguridad de Keybe pretende ser apropiado a la naturaleza de los Servicios proporcionados, el tamaño y la complejidad de las operaciones comerciales de Keybe. Keybe tiene un equipo dedicado a gestionar el programa de seguridad. Este equipo facilita y apoya las auditorías y evaluaciones independientes de terceros. El marco de seguridad de Keybe se basa en buenas prácticas establecidas el Sistema de Gestión de Seguridad de la Información ISO 27001, el cual se encuentra en proceso de certificación actualmente, e incluye programas que cubren: Políticas y Procedimientos, Gestión de Activos, Gestión de Accesos, Criptografía, Seguridad Física, Seguridad de las Operaciones, Seguridad de las Comunicaciones, Seguridad de la Continuidad del Negocio, Seguridad de las Personas, Seguridad de los Productos, Seguridad de la Nube y de la Infraestructura de la Red, Cumplimiento de la Seguridad, Seguridad de Terceros, Gestión de Vulnerabilidades, así como Supervisión de la Seguridad y Respuesta a Incidentes. La seguridad está representada en los niveles más altos de la empresa, con el Jefe de Confianza y Seguridad de Keybe reuniéndose con la Junta Directiva permanentemente para discutir los problemas y coordinar las iniciativas de seguridad de toda la empresa. Las políticas y normas de seguridad de la información son revisadas y aprobadas por la dirección al menos una vez al año y se ponen a disposición de todos los empleados de Keybe para su consulta.
Confidencialidad: Keybe tiene controles para mantener la confidencialidad de los Datos del Cliente que el Cliente pone a disposición de los Servicios, de conformidad con el Acuerdo. Todos los empleados de Keybe y el personal contratado están obligados por las políticas internas y por contrato firmado en relación con el mantenimiento de la confidencialidad de los datos del cliente y se comprometen contractualmente a estas obligaciones. A su vez Keybe realiza investigaciones independientes de comportamientos y procedimientos de los empleados y proveedores de Keybe.
Seguridad de las personas:
1. Verificación de los antecedentes de los empleados: Keybe lleva a cabo la verificación de los antecedentes de los individuos que se unen a Keybe de acuerdo con las leyes locales aplicables. Keybe actualmente verifica la educación del individuo y el empleo anterior, y también lleva a cabo controles de referencia. Cuando la ley local de trabajo o las regulaciones estatutarias lo permiten, y dependiendo de la función o posición del posible empleado, Keybe también puede llevar a cabo controles penales, de crédito, de inmigración y de seguridad.
2. Formación de los empleados: Por lo menos una vez al año, todos los empleados de Keybe deben completar el entrenamiento de seguridad y privacidad que cubre las políticas de seguridad, las mejores prácticas de seguridad y los principios de privacidad. Los empleados con licencia pueden tener tiempo adicional para completar esta formación anual. El equipo de seguridad dedicado de Keybe también realiza campañas de concienciación sobre el phishing y comunica las amenazas emergentes a los empleados. Keybe también ha establecido una línea directa anónima para que los empleados informen de cualquier comportamiento poco ético donde la denuncia anónima está legalmente permitida.
Gestión de proveedores de terceros:
1. Evaluación de proveedores: Keybe puede utilizar proveedores de terceros para proporcionar Servicios. Keybe lleva a cabo una evaluación basada en el riesgo de seguridad de los posibles proveedores antes de trabajar con ellos para validar que los posibles proveedores cumplen con los requisitos de seguridad. Keybe revisa periódicamente cada proveedor a la luz de los estándares de seguridad y continuidad del negocio de Keybe, incluyendo el tipo de acceso y la clasificación de los datos a los que se accede, los controles necesarios para proteger los datos y los requisitos legales/regulatorios. Keybe se asegura de que los datos del cliente sean devueltos y/o eliminados al final de la relación con el proveedor. Para evitar dudas, los proveedores de telecomunicaciones no se consideran subcontratistas de Keybe.
2. Acuerdos con proveedores: Keybe celebra acuerdos por escrito con todos sus proveedores que incluyen obligaciones de confidencialidad, privacidad y seguridad que proporcionan un nivel adecuado de protección de los datos personales contenidos en los datos del cliente que estos proveedores pueden procesar. Keybe realiza investigaciones y evaluaciones permanentes por lo menos una vez al año de las prácticas de sus proveedores.
Arquitectura y segregación de datos: La plataforma de comunicación en la nube, para los Servicios Keybe, está montada en Google Cloud Platform («GCP») y Amazon Web Services (“AWS”). La ubicación actual de la infraestructura del centro de datos, de ambas nubes, se encuentra en los Estados Unidos. Se puede obtener más información sobre la seguridad proporcionada por GCP en la página web de seguridad disponible en https://cloud.google.com/security y para AWS en https://aws.amazon.com/es/security. El entorno de producción de Keybe dentro de ambas nubes, donde se encuentran los datos del cliente y las aplicaciones orientadas al cliente, es una nube privada virtual (VPC) lógicamente aislada.
Diseño de seguridad de la infraestructura: Keybe utiliza los beneficios proporcionados por ambas nubes en terminos de seguridad. Puede ver la información en https://cloud.google.com/security/infrastructure/design y https://aws.amazon.com/architecture/security-identity-compliance
1. GCP
  1. Google cuenta con una infraestructura técnica de escala global diseñada para proporcionar seguridad a todo el ciclo de vida del procesamiento de la información en Google. Mediante esta infraestructura, se proporciona una implementación segura de los servicios, un almacenamiento seguro de los datos con protecciones de privacidad de usuarios finales, comunicaciones seguras entre los servicios, una comunicación segura y privada entre los clientes en Internet, y una operación segura por parte de los administradores.
  2. Google usa esta infraestructura para compilar sus servicios de Internet, incluidos los servicios para usuarios, como Búsqueda, Gmail y Fotos, y los servicios empresariales, como G Suite y Google Cloud.
  3. La seguridad de la infraestructura está diseñada en capas progresivas que comienzan con la seguridad física de los centros de datos, continúan con la seguridad del hardware y del software que sustentan la infraestructura, y finalizan con las restricciones técnicas y los procesos establecidos para admitir la seguridad operacional.
  4. Google hace grandes inversiones para proteger su infraestructura, con cientos de ingenieros dedicados a la seguridad y a la privacidad distribuidos en todas las divisiones de Google, y muchos son autoridades distinguidas en la industria.
2. AWS
  1. AWS permite a los negocios escalar de forma segura con visibilidad y controles de seguridad superiores. Permite automatizar tareas de detección y reducción de riesgos. Todo se maneja con los mas altos estándares de seguridad de la industria, se manejan capacidades de cifrado para el traslado y retención de los datos. Adicionalmente todos los datos que fluyen en la red global de AWS se cifran en capa física antes de dejar las instalaciones protegidas y el tráfico de las interconexiones entre las regiones de las VPC se manejan con capas adicionales de cifrado.
  2. AWS proporciona a sus clientes una red diseñada para proteger su información, identidades, aplicaciones y dispositivos.
  3. AWS proporciona las herramientas necesarias para cualquier organización en función de establecer y mejorar una postura de seguridad adecuada. Esto permite cumplir con los requerimientos de seguridad como localización de los datos, protección y confidencialidad de los servicios y funciones integrales.
  4. AWS está diseñado para manejar una infraestructura segura, resistente y eficaz para las aplicaciones. Tienen expertos en seguridad que constantemente supervisan la infraestructura e invierten en la generación de nuevos servicios de seguridad alineados con los estándares y normativas globales.
Controles de acceso.
1. Aprovisionamiento de Acceso: Para minimizar el riesgo de la exposición de datos, Keybe sigue los principios de menor privilegio a través de un modelo de control de acceso basado en el equipo cuando se aprovisiona el acceso al sistema. El personal de Keybe está autorizado a acceder a los datos del cliente sobre la base de su función de trabajo, rol y responsabilidades, y dicho acceso requiere la aprobación del director del área al cual pertenece el empleado. Los derechos de acceso a los entornos de producción se revisan al menos semestralmente. El acceso de un empleado a los Datos del Cliente se elimina rápidamente al terminar su empleo. Con el fin de acceder al entorno de producción, un usuario autorizado debe tener un nombre de usuario y contraseña únicos, la autenticación de múltiples factores y estar conectado a la red privada virtual de Keybe (VPN). Antes de que un ingeniero se le conceda el acceso al entorno de producción, el acceso debe ser aprobado por la administración y el ingeniero está obligado a completar la formación interna para dicho acceso, incluyendo la formación en los sistemas del equipo correspondiente. Keybe registra las acciones y los cambios de alto riesgo en el entorno de producción. Keybe aprovecha la automatización para identificar cualquier desviación de las normas técnicas internas que podrían indicar la actividad anómala / no autorizada para levantar una alerta en cuestión de minutos de un cambio de configuración.
2. Controles de contraseña: La política actual de Keybe para la gestión de contraseñas de los empleados sigue la guía NIST 800-63B, y como tal, nuestra política es utilizar contraseñas más largas, con autenticación de múltiples factores, pero sin requerir caracteres especiales o cambios frecuentes. Cuando un cliente inicia sesión en su cuenta de Keybe, Keybe realiza un hash de las credenciales del usuario antes de almacenarlas.
3. Gestión de cambios: Keybe tieneun proceso formal de gestión de cambios para gestionar los cambios en el software, las aplicaciones y el software del sistema que se desplegará en el entorno de producción. Las solicitudes de cambio se documentan utilizando un sistema formal y auditable de registro. Antes de realizar un cambio de alto riesgo, se lleva a cabo una evaluación para considerar el impacto y el riesgo de un cambio solicitado, las pruebas de reconocimiento del cambio, la aprobación del despliegue en producción por parte de los aprobadores apropiados y los procedimientos de reversión. Los cambios se revisan y se prueban antes de pasarlos a producción.
Capa de conexión segura: Keybe usa SSL (Secure Socket Layer) que es la tecnología de seguridad estándar para establecer un enlace cifrado entre los servidores web de Keybe y un navegador. Este enlace seguro garantiza que todos los datos transferidos sean privados. También se llama TLS (Transport Layer Security). Puede encontrar la información completa en: https://www.cloudflare.com/ssl/
Cortafuegos de aplicaciones web (WAF): Cada solicitud al WAF se inspecciona con el motor de reglas y la inteligencia de amenazas curada a partir de la protección de aproximadamente 25 millones de sitios web. Las solicitudes sospechosas se pueden bloquear, cuestionar o registrar según las necesidades de Keybe, mientras que las solicitudes legítimas se dirigen al destino, independientemente de si se encuentran en las instalaciones o en la nube. La información completa del servicio puede ser encontrada en: https://www.cloudflare.com/waf/
Gestión de la vulnerabilidad: Keybe mantiene controles y políticas para mitigar el riesgo de las vulnerabilidades de seguridad en un marco de tiempo medible que equilibra el riesgo y los requisitos empresariales/operativos. Keybe utiliza una herramienta clasificada de terceros para llevar a cabo exploraciones de vulnerabilidad regularmente para evaluar las vulnerabilidades en la infraestructura de la nube de Keybe y los sistemas corporativos. Los parches de software críticos son evaluados, probados y aplicados proactivamente. Para los servicios de Keybe, los parches del sistema operativo se aplican a través de la regeneración de una imagen de máquina virtual base y se despliegan en todos los nodos del clúster según un calendario predefinido. Para los parches de alto riesgo, Keybe desplegará directamente a los nodos existentes a través de herramientas de orquestación desarrolladas internamente.
Pruebas de penetración: Keybe realiza pruebas de penetración y contrata a entidades independientes de terceros para llevar a cabo pruebas de penetración a nivel de aplicación. Los resultados de las pruebas de penetración son priorizados, triados y remediados rápidamente por el equipo de seguridad de Keybe.
Gestión de incidentes de seguridad: Keybe mantiene políticas y procedimientos de gestión de incidentes de seguridad de acuerdo con NIST SP 800-61. El Equipo de Respuesta a Incidentes de Seguridad de Keybe, evalúa la amenaza de todas las vulnerabilidades relevantes o incidentes de seguridad y establece acciones de remediación y mitigación para todos los eventos. Keybe conserva los registros de seguridad durante 360 días. El acceso a estos registros de seguridad está limitado solo al personal directivo. Keybe utiliza servicios y herramientas de terceros para detectar, mitigar y ayudar a prevenir ataques de denegación de servicio distribuidos (DDoS).
Descubrimiento, investigación y notificación de un incidente de seguridad: Tras el descubrimiento o la notificación de cualquier incidente de seguridad, Keybe:
1. Investigará rápidamente dicho Incidente de Seguridad.
2. En la medida en que lo permita la legislación aplicable, notificar rápidamente al Cliente. El Cliente recibirá una notificación por correo electrónico asociado a la cuenta de Keybe.
3. Tomará las medidas y correctivos necesarios para resolver el incidente a la mayor brevedad de tiempo posible.
Resiliencia y continuidad del servicio: La infraestructura de Keybe utiliza una variedad de herramientas y mecanismos para lograr una alta disponibilidad y resiliencia, la infraestructura abarca múltiples zonas de disponibilidad de GCP y AWS independientes de fallos en regiones geográficas físicamente separadas entre sí. Para los servicios de Keybe, existen capacidades manuales o automáticas para redirigir y regenerar hosts dentro de la infraestructura de Keybe. La infraestructura es capaz de detectar y enrutar los problemas experimentados por los hosts o incluso centros de datos completos en tiempo real y emplear herramientas de orquestación que tienen la capacidad de regenerar hosts, construyéndose a partir de la última copia de seguridad. Keybe utiliza herramientas especializadas que supervisan el rendimiento del servidor, los datos y la capacidad de carga de tráfico dentro de cada zona de disponibilidad y centros de datos de colocación. Si se detecta un rendimiento subóptimo del servidor o una capacidad sobrecargada en un servidor dentro de una zona de disponibilidad o centro de datos de colocación, entonces estas herramientas especializadas aumentarán la capacidad o cambiarán el tráfico para aliviar cualquier rendimiento subóptimo del servidor o sobrecarga de capacidad. Keybe tiene notificaciones de diferentes niveles que funcionan inmediatamente y tiene la capacidad de tomar medidas inmediatas para corregir las causas detrás de estos problemas si las herramientas especializadas no pueden hacerlo.
Copias de seguridad y recuperación: Keybe realiza copias de seguridad periódicas de la información de la cuenta, registros, grabaciones, chats, logs, documentos y otros datos críticos utilizando el almacenamiento en la nube de GCP y AWS. Los datos de las copias de seguridad se conservan de forma redundante en todas las zonas de disponibilidad y se encriptan en tránsito y en reposo utilizando un cifrado del lado del servidor de 256 bits Advanced Encryption Standard (AES-256).