Vigente al 15 de enero de 2021
Los asesores profesionales realizan sus negocios en un entorno seguro. Dealsuite garantiza la seguridad de dos maneras:
1. Los usuarios de Dealsuite son exclusivamente profesionales. Tratan la información recibida a través de Dealsuite con integridad.
2. Alto nivel de seguridad informática, técnica y en el flujo de trabajo.
El primer punto trata sobre el 'Código de ética' y los 'Términos y condiciones' de Dealsuite. Están disponibles vía www.dealsuite.com. El segundo punto trata sobre la explicación del servicio de seguridad informática ofrecido por Dealsuite.
La infraestructura física de Dealsuite está alojada y gestionada en los centros de seguridad de datos de Amazon y utiliza la tecnología de Amazon Web Service (AWS). Amazon gestiona continuamente los riesgos y realiza las evaluaciones pertinentes con ánimo de garantizar el cumplimiento de las normas del sector. Las operaciones del centro de datos de Amazon han sido acreditadas bajo:
A través de Heroku.com , Dealsuite utiliza centros de datos con certificación ISO 27001 y FISMA gestionados por Amazon. Amazon cuenta con años de experiencia en el diseño, la construcción y el funcionamiento de centros de datos a gran escala. Esta experiencia se ha aplicado a la plataforma e infraestructura de AWS. Los centros de datos de AWS están alojados en instalaciones no clasificadas, y las instalaciones críticas cuentan con un repliegue de barreras y control perimetral de grado militar, asi como los limites perimetrales usuales. El acceso físico está estrictamente controlado tanto en el perímetro como en los puntos de entrada al edificio por personal de seguridad profesional que utiliza la videovigilancia, sistemas de detección de intrusos de última generación y otros medios electrónicos. El personal autorizado debe pasar una autentificación de dos caras no menos de tres veces para acceder a las plantas del centro de datos. Todos los visitantes y contratistas deben presentar una identificación y son fichados y escoltados continuamente por personal autorizado.
Amazon sólo proporciona acceso al centro de datos y a la información a los empleados que tienen una necesidad empresarial legítima. Cuando un empleado deja de tener una necesidad empresarial para dicho acceso, éste se revoca inmediatamente, aunque siga siendo empleado de Amazon o de Amazon Web Services. Todo el acceso físico y electrónico a los centros de datos por parte de los empleados de Amazon se registra y audita de forma rutinaria. Para obtener información adicional, consulte: https://aws.amazon.com/security.
Se han instalado equipos automatizados de detección y extinción de incendios para reducir el riesgo. El sistema de detección de incendios utiliza sensores de detección de humo en todos los entornos de los centros de datos, espacios de infraestructura mecánica y eléctrica, salas de enfriamiento y salas de equipos generadores. Estas áreas están protegidas por sistemas de rociadores de tubería húmeda, entrelazados de preacción, o bien, gaseosos.
Los sistemas de energía eléctrica del centro de datos están diseñados para mantenerse sin impacto en las operaciones, las 24 horas del día y los siete días de la semana. Las unidades de alimentación ininterrumpida (SAI) proporcionan energía de reserva en caso de fallo eléctrico para las cargas críticas y esenciales de la instalación. Los centros de datos utilizan generadores para proporcionar energía de reserva a toda la instalación.
El control climático es necesario para mantener una temperatura de funcionamiento constante para los servidores y el hardware, lo que evita el sobrecalentamiento y reduce la posibilidad de cortes de servicio. Los centros de datos están acondicionados para mantener las condiciones atmosféricas en niveles óptimos. Los sistemas de monitorización y el personal del centro de datos garantizan que la temperatura y la humedad estén en los niveles adecuados.
El personal del centro de datos supervisa los sistemas y equipos eléctricos, mecánicos y de soporte vital de manera que, en su caso, los problemas sean identificados de inmediato. Se realiza un mantenimiento preventivo para garantizar la operatividad ininterrumpida de los equipos. Para más información, consulte: https://aws.amazon.com/security
Los cortafuegos se utilizan para restringir el acceso a los sistemas desde redes externas y entre sistemas internos. Por defecto, se deniega todo acceso y sólo se permiten los puertos y protocolos explícitamente permitidos en función de las necesidades del negocio. Cada sistema se asigna a un grupo de seguridad de cortafuegos basado en la función del sistema. Los grupos de seguridad restringen el acceso sólo a los puertos y protocolos necesarios para la función específica de un sistema para mitigar el riesgo.
Los cortafuegos basados en el host restringen las aplicaciones para que no establezcan conexiones localhost a través de la interfaz de red loopback para aislar aún más las aplicaciones. Los cortafuegos basados en el host también ofrecen la posibilidad de limitar aún más las conexiones entrantes y salientes según sea necesario.
Nuestra infraestructura proporciona técnicas de mitigación de DDoS que incluyen cookies TCP Syn y limitación de la velocidad de conexión, además de mantener múltiples conexiones troncales y una capacidad de ancho de banda interna que supera el ancho de banda suministrado por el operador de Internet. Trabajamos estrechamente con nuestros proveedores para responder rápidamente a los eventos y habilitar controles avanzados de mitigación de DDoS cuando sea necesario. También hemos habilitado las contramedidas de dns dinámico, DDoS y bot de CloudFlare.
Los cortafuegos gestionados impiden la suplantación de IP, MAC y ARP en la red y entre los hosts virtuales para garantizar que no sea posible la suplantación. El esnifado de paquetes se evita mediante la infraestructura, incluido el hipervisor, que no entregará el tráfico a una interfaz a la que no esté dirigido. Amazon utiliza el aislamiento de las aplicaciones, las restricciones del sistema operativo y las conexiones cifradas para garantizar aún más la mitigación del riesgo en todos los niveles.
El escaneo de puertos está prohibido y cada instancia reportada es investigada por nuestro proveedor de infraestructura. Cuando se detectan escaneos de puertos, se detienen y se bloquea el acceso.
Para garantizar un diseño y un desarrollo óptimos del software, aplicamos una metodología de desarrollo dirigida por pruebas. Esto asegura que muchos errores se detecten antes de llegar a los entornos de prueba y de puesta en escena.
Desde el desarrollo hasta la producción, el código de la aplicación se empuja a través de una canalización CI/CD, lo que minimiza el trabajo repetitivo de los desarrolladores y garantiza que cada despliegue se ajuste a las mismas comprobaciones y pruebas.
El código fuente se almacena en repositorios GIT gestionados, alojados en BitBucket.com.
Cada aplicación en la plataforma Heroku se ejecuta dentro de su propio entorno aislado y no puede interactuar con otras aplicaciones o áreas del sistema. Este entorno operativo restrictivo está diseñado para evitar problemas de seguridad y estabilidad. Estos entornos autocontenidos aíslan los procesos, la memoria y el sistema de archivos mediante LXC, mientras que los cortafuegos basados en el host restringen las aplicaciones para que no establezcan conexiones de red locales. Para obtener información técnica adicional, consulta: https://devcenter.heroku.com/articles/dyno-isolation
Los datos se almacenan en bases de datos de acceso controlado separadas por aplicación. Cada base de datos requiere un nombre de usuario y una contraseña únicos que sólo son válidos para esa base de datos específica y son exclusivos de una sola aplicación. A varias aplicaciones y bases de datos se les asignan bases de datos y cuentas separadas por aplicación para mitigar el riesgo de acceso no autorizado entre aplicaciones. Las conexiones a las bases de datos Postgres requieren encriptación SSL para garantizar un alto nivel de seguridad y privacidad.
Todos los flujos de trabajo y la UX de Dealsuite son revisados por un experto certificado en Organización Administrativa y Control Interno (AOIC).