Medidas de Seguridad Técnicas y Organizativas

Última actualización: 18 de diciembre de 2021

Personal de Seguridad

  • Confidencialidad - El personal de Appointlet debe firmar un acuerdo de confidencialidad y debe acusar recibo y cumplimiento de las políticas internas de Appointlet.
  • Capacitación en educación y concientización sobre seguridad - El personal designado debe asistir a capacitaciones sobre seguridad y privacidad al momento de la contratación y, posteriormente, anualmente.

Seguridad Organizacional

  • Controles de acceso - Appointlet implementa el aprovisionamiento de acceso basado en el principio de privilegios mínimos y controles de eliminación de acceso inmediatamente después de la terminación. Estos controles se revisan en toda la empresa dos veces al año.
  • Autenticación multifactor (MFA) - Appointlet emplea autenticación multifactor para acceder a todo nuestro entorno de producción y sistemas internos que contienen datos del cliente.
  • contraseñas - Appointlet requiere y hace cumplir los requisitos de complejidad de contraseñas cuando se emplean contraseñas para la autenticación (por ejemplo, inicio de sesión en estaciones de trabajo). Estos requisitos incluyen restricciones sobre la reutilización de contraseñas y suficiente seguridad de contraseñas.
  • Seguridad de la información El personal de Appointlet debe reconocer y cumplir con las políticas y estándares de seguridad de la información de Appointlet. El incumplimiento está sujeto a medidas disciplinarias, que pueden incluir el despido.
  • Seguimiento y respuesta a incidentes - Appointlet mantiene las capacidades de detección de incidentes y un programa de respuesta a incidentes documentado. En el caso de un incidente, Appointlet tomará de inmediato las medidas razonables para minimizar los daños y proteger los Datos del cliente.

Prácticas y alojamiento de datos

  • Cifrado estándar de la industria - Los datos en tránsito se cifran mediante TLS 1.2+ y los datos en reposo se cifran mediante AES-256. Appointlet hace un hash de las contraseñas de los usuarios con PBKDF2 antes de almacenarlas en una base de datos cifrada.
  • Retención y eliminación - Appointlet mantiene los datos de respaldo hasta 7 días después de que un usuario final haya eliminado los datos. Después de ese período, los datos se eliminan de forma permanente.
  • Almacenamiento Appointlet almacena datos en un entorno multiinquilino alojado en servidores AWS y aísla lógicamente los datos del cliente.
  • Centros de datos - Appointlet aloja datos en Amazon Web Services (AWS), que mantiene certificaciones e informes de cumplimiento de clase mundial reconocidos internacionalmente. AWS mantiene prácticas de seguridad líderes en la industria, ofrece protección física y ambiental de vanguardia para los servicios y la infraestructura que componen el entorno operativo de Appointlet.
  • Copias de seguridad - Appointlet realiza copias de seguridad periódicas de la base de datos. Las copias de seguridad se conservan durante 7 días durante el curso normal de las operaciones.
  • Replicación - Appointlet también replica bases de datos y copias de seguridad de bases de datos en zonas de disponibilidad alternativas. Realizamos copias de seguridad periódicas y pruebas de restauración.
  • Redundancia - La infraestructura de Appointlet ha sido diseñada para eliminar puntos únicos de falla y minimizar el impacto de los riesgos ambientales anticipados. Este diseño permite a Appointlet realizar el mantenimiento y mejoras de la infraestructura con un impacto mínimo en los sistemas de producción.

Protección de red

  • Los cortafuegos - Appointlet configura los firewalls de acuerdo con las mejores prácticas de la industria y los puertos y protocolos innecesarios se bloquean mediante la configuración de grupos de seguridad de AWS y NACL (listas de control de acceso a la red). Las configuraciones se supervisan periódicamente mediante herramientas automatizadas de gestión de la postura de seguridad en la nube.
  • Supervisión, registro y alertas - Appointlet registra los registros de la aplicación para monitorear cualquier actividad sospechosa. Esto se hace usando una herramienta SIEM (Security Incident and Event Management). Todas las alertas son evaluadas por el equipo de seguridad de Appointlet y se genera un incidente de seguridad después de la introspección del registro.

Subprocesadores

  • Confidencialidad - Appointlet toma las medidas adecuadas para garantizar que se mantenga nuestra postura de seguridad mediante el establecimiento de acuerdos que requieren que los subprocesadores y las organizaciones de servicios se adhieran a los compromisos de confidencialidad.

Certificaciones e informes de seguridad

  • Pruebas de penetración - Appointlet se relaciona con firmas de terceros independientes para realizar pruebas de penetración a nivel de red y de aplicación al menos una vez al año. Los resultados de estas pruebas se comparten con la alta dirección, se clasifican, se priorizan y se corrigen de manera oportuna.
  • Programa de divulgación de seguridad independiente – Appointlet ejecuta un programa de divulgación de seguridad para auditores de seguridad independientes diseñado para permitir que los profesionales de seguridad revelen problemas de seguridad a través de los canales adecuados para que podamos resolverlos rápidamente. Se puede encontrar más información aquí.