La seguridad en Fracttal

En Fracttal nos tomamos muy en serio la seguridad, y nos enorgullece implementar las mejores prácticas cuando se trata de proteger la información de tu empresa. Nuestra razón de ser es proteger tus datos.
Programa de Seguridad en Fracttal
El programa de seguridad en Fracttal se basa en el concepto de defensa en profundidad: asegurar nuestra organización y los datos de nuestros clientes en cada nivel. Nuestro programa de seguridad está alineado con ISO 27000 y está en constante evolución con las nuevas prácticas de la industria.
Nuestro equipo de seguridad, dirigido por nuestro CTO es responsable de la implementación y administración de nuestro programa de seguridad.
El objetivo de nuestro programa de seguridad es evitar el acceso no autorizado y proteger los datos de nuestros usuarios. Con este fin, nuestro equipo toma medidas exhaustivas para identificar y mitigar los riesgos, implementar las mejores prácticas y desarrollar constantemente formas de mejorar.
Funciones de Seguridad
Seguro por diseño
El equipo de Desarrollo de Fracttal ha desarrollado un sólido ciclo de vida de desarrollo seguro donde nos esforzamos por detectar todas las vulnerabilidades en las fases de diseño, pruebas e implementación. Contamos con un programa de recompensas por errores para facilitar la divulgación responsable de posiblesvulnerabilidades de seguridad. Todas las vulnerabilidades identificadas se analizan, se controlan y se implementa su solución.
Cifrado
Datos en tránsito
Todos los datos transmitidos entre nuestros clientes y el servicio de Fracttal se realizan utilizando protocolos de cifrados sólidos. Fracttal es compatible con las últimas tecnologías de cifrado seguro recomendadas para cifrar todo el tráfico en tránsito, incluido el uso de los protocolos TLS 1.2, el cifrado AES256 y las firmas SHA2. Incluso en cafeterías, aeropuertos y otros lugares con conexiones WiFi públicas, las contraseñas de Fracttal no pueden ser robadas. Los usuarios, pueden abrir la aplicación o hacer uso de la plataforma con total confianza en lugares públicos y a través de conexiones de red WiFi o móviles.
Los datos en reposo
Los datos en reposo en la red de producción de Fracttal se cifran utilizando los estándares de cifrado compatibles con FIPS 140-2, que se aplican a todos los tipos de datos en reposo: bases de datos relacionales, almacenes de archivos, copias de seguridad de bases de datos, etc. Todas las claves de cifrado se almacenan de forma segura en una red segregada con acceso muy limitado. En Fracttal hemos implementado medidas de seguridad adecuadas para proteger la creación, el almacenamiento, la recuperación y la destrucción de información confidencial, como las claves de cifrado y las credenciales de cuentas.
Los datos de cada cliente se alojan en nuestra infraestructura compartida y se separan lógicamente de los datos de otros clientes. Utilizamos una combinación de tecnologías para garantizar que los datos del cliente estén protegidos contra fallas de hardware y se devuelvan rápidamente cuando se solicitan. El servicio de Fracttal está alojado en centros de datos administrados por Microsoft, que ofrecen una protección física de vanguardia para los servidores y la infraestructura que conforman el entorno operativo.
logo empresa FedRAMP
FedRAMP
(Li-SaaS)
Federal Risk and Authorization Management Program
logo empresa nist
NIST 800-171
Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
logo empresa AICPA soc 2
SOC 2
(Type II)
Trust Services Principles
logo empresa AICPA soc 3
SOC 3
(Li-SaaS)
Federal Risk and Authorization Management Program
logo empresa ISO 27001
ISO/IEC 27001
Information Security Management System (ISMS)
logo empresa ISO 27017
ISO/IEC 27017
Security Controls for the Provision and Use of Cloud Services
logo empresa ISO 27018
ISO/IEC 27018
Protection of Personally Identifiable Information (PII)
logo empresa HIPAA
HIPAA
Health Insurance Portability and Accountability Act
logo empresa Privacy Shield
EU/US Privacy Shield
Swiss/US Privacy Shield
Data Privacy Practices
logo empresa CSA
CSA
Cloud Security Alliance
Aunado a la seguridad de la infraestructura, en Fracttal dividimos nuestros sistemas en redes separadas para proteger mejor los datos confidenciales. Los sistemas que soportan las actividades de prueba y desarrollo se alojan en una red separada de los sistemas que soportan la infraestructura de producción. Todos los servidores de producción están configurados bajo las mejores prácticas (por ejemplo, deshabilitando puertos innecesarios, eliminando contraseñas predeterminadas, etc.). Los protocolos esenciales para la entrega del servicio a nuestros usuarios están abiertos en nuestro perímetro y existen mitigaciones contra los ataques de denegación de servicio distribuido (DDoS) implementados en el perímetro de la red. Además, para las actividades de prevención y detección de intrusiones basadas en host, registramos, supervisamos y auditamos todas las llamadas del sistema y contamos con alertas en caso de una posible intrusión.
Red de Entrega de Contenido CDN
Con 180 centros de datos en 76 países, la red de entrega de contenido o CDN de nuestro proveedor almacena en caché el contenido estático en el extremo, reduciendo la latencia mediante la entrega de recursos lo más cerca posible geográficamente de nuestros usuarios. También absorbe el tráfico de ataque distribuido al dispersarlo geográficamente, mientras mantiene las propiedades de Internet disponibles y en funcionamiento.
DNS
Nuestro proveedor de seguridad es el proveedor de DNS administrado más rápido del mundo, enrutando más del 38 % del tráfico DNS global.
Firewall de aplicaciones web (WAF)
El firewall de aplicaciones web (WAF) de grado empresarial de detecta y bloquea las vulnerabilidades comunes de la capa de aplicación en el extremo de la red, utilizando los OWASP Top 10, conjuntos de reglas personalizadas y específicas de la aplicación.
Optimización
Nuestro proveedor de seguridad incluye un conjunto de optimizaciones para mejorar el rendimiento de los recursos de Internet. Las optimizaciones incluyen los últimos estándares web, como HTTP/2 y TLS 1.3, así como mejoras particulares para imágenes y visitantes de dispositivos móviles.
DNSSEC
DNSSEC es el identificador de llamadas no falsificable de Internet con ello garantizamos que el tráfico de nuestra aplicación web se enruta de manera segura a los servidores correctos para que los visitantes del sitio no sean interceptados por un atacante intermediario oculto.
SSL/TLS
El cifrado de seguridad de la capa de transporte (TLS) habilita conexiones HTTPS entre nuestros usuarios y los servidores de origen, evitando los ataques de intermediarios, rastreo de paquetes, visualización de advertencias de confianza del navegador web y más.
Seguridad a Nivel de Aplicación
La protección proactiva de Fracttal, bloquea los ataques web que intenten utilizar vulnerabilidades de las aplicaciones. Los usuarios alintencionados, no tienen ninguna posibilidad de cargar códigos maliciosos. La aplicación web cumple con los estándares WAFEC 1.0. y el acceso a Fracttal se proporciona a los usuarios (empresas) en completo aislamiento de otros usuarios con contraseñas cifradas mediante doble encriptación.
Control de Acceso
Aprovisionamiento
Para minimizar el riesgo de exposición a los datos, nos adherimos a los principios de privilegios mínimos y permisos basados en roles al proporcionar acceso; los miembros de nuestro equipo sólo están autorizados para acceder a datos que deben manejar razonablemente para cumplir con sus responsabilidades laborales. Todos los accesos de producción se revisan al menos trimestralmente.
Autenticación
Para reducir el riesgo de acceso no autorizado a los datos, empleamos autenticación de múltiples factores para todos los accesos a sistemas con datos altamente clasificados, incluido nuestro entorno de producción, que alberga los datos de nuestros clientes.
Gestión de contraseñas
Todo los miembros de nuestro equipo usan un administrador de contraseñas aprobado. Los administradores de contraseñas generan, almacenan e ingresan contraseñas únicas y complejas para evitar la reutilización de la contraseña, el phishing y otros riesgos relacionados con la contraseña.
Seguridad a Nivel de Aplicación
Supervisamos servidores, estaciones de trabajo y dispositivos móviles, las llamadas al sistema en todos los servidores en la red de producción se registran y se conservan durante al menos dos años. El análisis de los registros se automatiza en la medida de lo posible para detectar posibles problemas y alertar al personal responsable. Todos los registros de producción se almacenan en una red separada que está restringida solo al personal de seguridad relevante.
Retención y eliminación de datos
Los datos del cliente se eliminan inmediatamente después de que el usuario final los elimine dentro del sistema. Nuestro proveedor de servicio Microsoft Azure es responsable de garantizar que la eliminación de los datos de los discos se realice de manera responsable antes de ser reutilizados.
Plan de Recuperación de Desastres y Continuidad de Negocio
Fracttal, utiliza el estado del arte en centros de datos independientes y tecnología de agrupación en clúster, para asegurar la máxima disponibilidad y rendimiento del servicio. Tu información disponible siempre, desde cualquier lugar.
Utilizamos los servicios implementados por nuestro proveedor de servicio Microsoft Azure para distribuir las operaciones de producción en varias ubicaciones físicas separadas. Estas ubicaciones se encuentran dentro de diferentes regiones geográficas, pero protegen el servicio de Fracttal de la pérdida de conectividad, la infraestructura de energía y otras fallas comunes específicas de la ubicación.
Las transacciones de producción se replican en estos entornos operativos para proteger la disponibilidad del servicio en caso de un evento catastrófico específico de esa ubicación. También conservamos una copia de seguridad completa de los datos de producción en una ubicación remota que se encuentra significativamente alejada de la ubicación del entorno operativo principal. Las copias de seguridad completas se guardan en esta ubicación remota al menos una vez por semana y las transacciones se guardan continuamente. Probamos las copias de seguridad al menos trimestralmente para garantizar que puedan restaurarse con éxito.
Respondiendo a incidentes de seguridad
Hemos establecido políticas y procedimientos para responder a posibles incidentes de seguridad. Todos los incidentes de seguridad son gestionados por nuestro equipo dedicado de detección y respuesta. En caso de un incidente, se informará a los clientes afectados vía correo electrónico de nuestro equipo de Customer Success.
Validación externa
Auditorías de cumplimiento de seguridad
Estamos continuamente monitoreando, auditando y mejorando el diseño y la efectividad operativa de nuestros controles de seguridad. Estas actividades las realizamos regularmente con terceros y el equipo interno de cumplimiento y riesgo.
Pruebas de penetración
Además de nuestras auditorías de cumplimiento, contratamos a entidades independientes para que realicen pruebas de penetración a nivel de aplicaciones y de infraestructura al menos una vez al año.
Los resultados de estas validaciones externas se comparten con la alta gerencia y todos los hallazgos se rastrean para su resolución de manera oportuna.

Comienza tu también a gestionar mejor tu mantenimiento

Pruébalo Ahora

Premios y reconocimientos

  • frontrunners
  • frontrunners2019
  • great-user-experience-blanco
  • rising-star-negro
  • Capterra
  • comparasofware