Política de Seguridad de los servicios en la nube
El presente documento establece las políticas y medidas técnicas y organizativas que aplican a los servicios en la nube proporcionados por NUMINTEC.
I. MEDIDAS DE SEGURIDAD GENERALES
Políticas de la organización
| Política de seguridad y privacidad de la información | Existe una política de seguridad de la información y protección de datos personales publicada y conocida por todo el personal y colaboradores |
| Responsable de seguridad | NUMINTEC ha designado un Responsable de Seguridad de la Información (“CISO”) como responsable de coordinar y supervisar las políticas, normativas y procedimientos de seguridad. Sus responsabilidades incluyen la definición de las políticas de seguridad de la información, la verificación del cumplimiento de estas políticas, la evaluación de riesgos para la seguridad de la información, la determinación de las medidas técnicas y organizativas necesarias para mitigar los riesgos, y la supervisión del desempeño de los controles implantados. |
| Roles y responsabilidades en materia de seguridad de la información y protección de la privacidad | Los roles y responsabilidades en materia de seguridad de la información y protección de la privacidad están definidos y asignados apropiadamente dentro de la organización. El personal de NUMINTEC que gestiona los Servicios que contienen Datos del Cliente está sujeto a obligaciones de confidencialidad y a la normativa de seguridad de la información y protección de datos personales. |
| Programa de gestión de riesgos | En el marco del Sistema de Gestión de la Seguridad de la Información existe un plan de evaluación y tratamiento de riesgos de seguridad de la información y se revisa periódicamente. |
| Evaluación continua | NUMINTEC realiza una verificación y evaluación periódica de la eficacia de las medidas técnicas y organizativas implantadas para proteger la seguridad en la información en los sistemas de tratamiento, centros de trabajo y usuarios que los utilizan. Esta evaluación y revisión se realiza bajo el criterio de los estándares de seguridad de la industria y las propias políticas y procedimientos determinados por el Sistema de Gestión de la Seguridad de la Información. |
| Política de seguridad y privacidad de proveedores | Existe un proceso formal que permite valorar el cumplimiento de los requisitos de seguridad información y protección de la privacidad que deben cumplir los proveedores que tratan información y datos personales. Únicamente se da acceso a la información a los proveedores cuando exista una necesidad legítima que justifique este acceso. |
Personal y colaboradores
| Responsabilidades | Asimismo, todo el personal de NUMINTEC se ha comprometido a cumplir y hacer cumplir las políticas y normativas de seguridad de la información de la empresa. |
| Compromiso de confidencialidad | Todo el personal y colaboradores de NUMINTEC firman un documento de carácter contractual mediante el que se obligan a guardar secreto y garantizar la confidencialidad y seguridad respecto de los datos a los que pudiera tener acceso por razones de su responsabilidad laboral, contractual o de cualquier otro tipo. Tendrá la consideración de información confidencial, cualquier información (comercial, técnica, administrativa u otras) de NUMINTEC y sus clientes, sobre sus asuntos comerciales, tecnología, maquinaria, procesos, productos, planos, instalaciones y dependencias, que antes de ser recibidas por el trabajador o trabajadora no estaban en su conocimiento o poder sin obligación de confidencialidad. |
| Normativa interna de seguridad de la información | Existe una normativa de seguridad de la información, protección de datos personales y uso de los medios informáticos que todo el personal y colaboradores se ha comprometido a cumplir. Dicho documento incluye la advertencia de que el incumplimiento de dichas obligaciones constituye una falta grave de indisciplina o desobediencia en el trabajo y, por tanto, será sancionable. |
| Formación y concienciación | Todo el personal de NUMINTEC recibe una formación adecuada con respecto a la seguridad de la información y la protección de los datos personales. Asimismo, periódicamente se realizan actividades y acciones de concienciación dirigidas a todo el personal |
| Normas de uso de los sistemas de información | La normativa de seguridad de la información establece las normas de uso aceptable de los sistemas de información y equipos que el personal tiene a su cargo. |
| Prohibición de uso personal de los equipos corporativos | Se ha establecido que no se permite el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de la información corporativa y los datos personales. Tampoco se permite el acceso a información corporativa desde equipos particulares. |
| Equipos desatendidos | Se ha establecido un mecanismo para que cuando un equipo quede desatendido se proceda al bloqueo de la pantalla o al cierre de la sesión. |
| Información en la nube | NUMINTEC trata toda la información mediante servicios en la nube, por lo que no se almacena información sensible en los equipos de trabajo. |
| Teletrabajo seguro | Se ha establecido una política para que el teletrabajo se pueda realizar de forma segura. Toda la actividad de Numintec se puede realizar en modalidad de teletrabajo. |
| Custodia de documentación | Se ha establecido una normativa para que en ningún momento quede documentación en papel o soportes de información sin custodia en el puesto de trabajo. |
| Seguridad en los dispositivos móviles | Se ha establecido una política para proteger el uso de los dispositivos móviles y la información que puedan contener. |
Acceso a los sistemas
| Política de control de accesos | NUMINTEC mantiene una política de control de acceso que determina los privilegios de seguridad de las personas que tienen acceso a la información bajo el principio de mínimo privilegio. |
| Autorización de acceso | Existe un proceso formal para gestionar la autorización, alta, baja y modificación de accesos de los usuarios a los sistemas. |
| Cuentas individuales | Cada persona utiliza una cuenta de usuario individual e intransferible. |
| Mínimo privilegio | NUMINTEC ha definido y aplica una política de mínimo acceso por defecto, que garantiza que el personal y colaborades únicamente tienen acceso a la información que requieren para desempeñar las labores de su puesto de trabajo |
| Cuentas con acceso privilegiado | Para realizar tareas de administración y configuración de los sistemas se utilizan cuentas de acceso nominales con derechos privilegiados que son diferentes y segregadas de las cuentas de uso ordinario de los sistemas. |
| Autenticación | NUMINTEC utiliza prácticas estándares del sector para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información. Para acceder a aquellas redes más expuestas o para la administración de sistemas se utilizan sistemas de doble factor de autenticación. Todos los sistemas incluyen controles para evitar los intentos reiterados de conseguir acceso a los sistemas de información mediante una contraseña inválida. |
| Seguridad de las contraseñas | Se garantizará la existencia de políticas de contraseñas (o mecanismos equivalentes) para el acceso a los sistemas y aplicaciones que cumplen como mínimo lo siguiente: ● Longitud de la contraseña: mínimo 8 caracteres ● Renovación periódica de las contraseñas ● Requisitos de complejidad de las contraseñas ● Límites a la reutilización de contraseñas |
| Confidencialidad de las contraseñas | Existe una normativa para asegurar la confidencialidad de las contraseñas, evitando que queden expuestas o sean compartidas con terceros. Internamente, todas las contraseñas se guardan aplicando algoritmos de cifrado irreversibles. |
| Registros de accesos | Se mantiene y supervisa un registro de los accesos e intentos de acceso a los sistemas |
Activos de tratamiento de la información
| Inventario de activos | Se dispone de un inventario de los sistemas y equipos utilizados en el tratamiento de la información, con la información de la persona que es responsable de dicho equipo. |
| Desecho y reutilización segura | Se han definido procesos formales para el desecho y/o reutilización segura de los equipos de tratamiento de la información. |
| Mantenimiento de los equipos | Los sistemas y equipos utilizados para el tratamiento de la información están debidamente mantenidos u actualizados |
| Protección contra malware | Los equipos en los que se procesa o almacena información disponen de protección antimalware permanentemente activa y actualizada. |
| Actualización del software | Todo el software que se utiliza para el tratamiento de la información está debidamente actualizado y sin vulnerabilidades graves conocidas. |
| Bastionado de los sistemas | Se han aplicado medidas de bastionado de los sistemas tales como, entre otras: ● Tener solamente abiertos los puertos indispensables ● Desactivar todos los servicios no estrictamente necesarios ● Bloquear o cambiar las contraseñas por defecto de las cuentas con acceso privilegiado ● Cifrado de los discos que contienen la información |
| Limitación a la instalación de software por parte de los usuarios | Existe una normativa o medidas técnicas para impedir que el personal pueda instalar software no autorizado en sus equipos de trabajo, así como para que no se pueda utilizar software que pueda violar la propiedad intelectual de terceros. |
| Limitación de privilegios de administración | Se han implantado medidas técnicas para que los usuarios no puedan modificar o desactivar las configuraciones de seguridad de los equipos |
Seguridad de red
| Equipo de seguridad dedicado | La supervisión de la seguridad y el sistema de alertas forma parte integral de las operaciones, proporcionando un control de la seguridad 24×7 y un equipo siempre disponible para dar respuesta a alertas e incidentes. |
| Protección y segregación de redes | A nivel 2 la infraestructura está protegida por medio de VLAN, lo que garantiza que en cada puerto de comunicaciones solo se pueden acceder a los recursos imprescindibles para la prestación del servicio al que están destinados. A nivel 3 y superiores la seguridad de la infraestructura está basada en una doble capa de seguridad de cortafuegos. Las conexiones a operadores y circuitos privados (Telefónica, ONO, etc…) se encuentran aisladas del resto de la infraestructura por VLANs y reglas específicas de acceso, asegurando la opacidad entre redes. A la red DMZ únicamente puede accederse para los servicios que se ofrecen a los clientes, que son principalmente:: ● Servicios web HTTPS ● Servicios de voz: Señalización y audio (con y sin encriptación) ● Servicios auxiliares a clientes como el DNS ● Servicios internos a infraestructura desde nube privada: Acceso encriptado a datos ● Servicios a trabajadores: VPN |
| Arquitectura | La infraestructura está alojada en dos centros de datos, uno gestionado por Evolutio y otro gestionado por MBA Datacenters S.L. (Bitnap) ahora perteneciente a Cellnex Telecom. Ambos disponen de certificación ISO 27001. En estas ubicaciones están los servidores principales que albergan las aplicaciones y bases de datos que se utilizan en la compañía y toda la electrónica de red para garantizar el acceso y la seguridad. Ambos centros de datos actúan de forma redundante, pudiendo ejecutarse servicios propios de NUMINTEC tanto en un centro de datos como en otro. Es posible combinar los servicios entre ambos datacenters, ya que están unidos por un enlace L2 |
| Seguridad perimetral en la red | Existe una doble capa de seguridad de cortafuegos para filtrar el tráfico de red entrante no autorizado de Internet y denegar cualquier tipo de conexión de red que no esté explícitamente autorizada: ● Cortafuegos externos: Esta capa protege la zona desmilitarizada donde se encuentran todos los equipos y las conectividades de la plataforma en la nube de la compañía con el exterior, tanto las de circuitos públicos a Internet como los circuitos privados de clientes, VPNs y conexiones con operadores. ● Cortafuegos internos: Esta capa separa la zona desde donde se proveen los servicios de la zona interna donde se encuentran las bases de datos y los servicios internos. Filtran el tráfico no permitiendo en ningún caso tráfico directo desde internet hacia la zona interna El acceso administrativo al cortafuegos está monitorizado y restringido a los empleados autorizados mediante usuarios nominales. |
| Protocolos seguros de transmisión de la información | Todo el tráfico que discurre total o parcialmente por redes públicas, está cifrado mediante protocolos seguros y sin vulnerabilidades graves conocidas (por ejemplo, mínimo TLS 1.2) La única excepción a esto son protocolos que por su diseño y antigüedad, no pueden ir encriptados, En ese caso es el cliente que utiliza esos protocolos para conectar al sistema de Numintec el que acepta el riesgo. No obstante ese riesgo es solo para el cliente y sus terminales, no afectando a la infraestructura ni a otros clientes. Numintec no recomienda en ningún caso la utilización de protocolos sin seguridad. |
| Escaneo de vulnerabilidades de red | Periódicamente se realizan pruebas para verificar que las redes están libres de vulnerabilidades y se aplican las medidas correctoras necesarias. El escaneo activo de seguridad de red se ejecuta activamente en todas las subredes para la identificación rápida de sistemas que no cumplen con los requisitos o que son potencialmente vulnerables. Los escaneos pasivos programados también se ejecutan para todas las subredes internas o privadas, así como todas las DMZ o subredes públicas que enfrentan puertos expuestos (http / https). |
| Pruebas de penetración | Además de nuestro procedimiento interno de supervisión, como mínimo una vez al año NUMINTEC realiza una amplia prueba de penetración (pentest) en las redes y servidores de producción frente ataques de terceros. El departamento de técnico deberá, bajo su criterio o antes alertas de CVE que puedan afectar a el sistema, realizar cuantas pruebas considere necesarias para asegurar la impenetrabilidad del sistema por entes externos. El resultado de estas pruebas quedará almacenada en la unidad compartida de sistemas para su consulta. |
| Gestión de alertas de seguridad (SIEM) | Nuestro sistema de supervisión colecciona registros actividad de tanto en los sistemas en la DMZ como en la red interna. El SIEM envía alertas sobre los sucesos que notifican al equipo de seguridad correspondiente para su investigación y respuesta. |
| Detección y prevención de intrusiones | Los puntos de entrada y salida del flujo de datos de la aplicación se controlan logando las conexiones aceptadas y denegadas, con direcciones de origen y destino. Esta información se almacena y se integra con el SIEM para la busqueda de patrones anormales y alerting. |
| Mitigación DDoS | NUMINTEC monitoriza el tráfico de red en tiempo real para inspeccionar el tráfico entrante. Para realizar la mitigación automática de la mayoría de las técnicas DDoS los firewalls protegen contra todos los ataques de infraestructura conocidos (Capa 3 y 4). |
| Acceso lógico | NUMINTEC utiliza una arquitectura de seguridad basada en roles y requiere que los usuarios del sistema se identifiquen y autentiquen antes de acceder a cualquier recurso del sistema, con privilegios de acceso granulares y específicos por empleado Los recursos de producción y todas las acciones administrativas se registran y almacenan durante al menos 6 meses con protecciones específicas y copias de seguridad para evitar que se modifiquen los registros de auditoría. Todos los accesos y acciones administrativas capturadas por auditd se integran con el SIEM. Todos los recursos de producción se gestionan en el sistema de inventario de activos y a cada activo se le asigna un propietario. Los propietarios son responsables de aprobar el acceso al recurso y de realizar revisiones periódicas del acceso por rol. El acceso a cualquier red o subsistema de administración de NUMINTEC está determinado por una política de “necesidad de conocer” según lo determinado por los controles ISO27001 e ISO27017. |
| Supervisión y gestión de la capacidad | NUMINTEC ha implantado un proceso de supervisión de los sistemas y gestión de la capacidad, para monitorizar de forma continua el desempeño de los sistemas, supervisar el uso de los recursos y ajustar la utilización de los recursos, así como realizar proyecciones de los requisitos futuros de capacidad, para garantizar el rendimiento requerido de los sistemas |
| Respuesta a Incidentes de seguridad | En caso de una alerta del sistema, los sucesos se escalan a nuestros equipos las 24 horas, los 7 días de la semana, que brindan cobertura de operaciones, ingeniería de redes y seguridad. Asimismo, los clientes tienen a su disposición el equipo de Servicio de Atención Técnica a Clientes (SAT) para dar respuesta a cualquier incidente que puedan detectar. Si se considera necesario el SAT puede contactar con el equipo de sistemas, que realiza las funciones de NOC. Los empleados están capacitados en los procesos de respuesta a incidentes de seguridad controlados tanto en ISO 9001 como en ISO 27001. Adicionalmente, NUMINTEC dispone de un procedimiento de respuesta a ciberataques que establece los mecanismos necesarios para la detección, contención, respuesta y recuperación ante ataques a nuestras redes y sistemas. |
| Gestión de cambios | NUMINTEC dispone de un procedimiento de gestión de cambios mediante el cual se previene que cualquier cambio pueda afectar a la seguridad de la información y los servicios. Dado el caso de que el cambio pueda afectar al servicio, el procedimiento contempla la obligación de informar a los clientes de forma previa de cambios, que proporciona información suficiente para que el cliente pueda valorar el impacto, y se proporciona información sobre la planificación del cambio y posibles alteraciones en la disponibilidad del servicio. |
| Registros de auditoría | Se recogen, conservan y revisan los registros de auditoría de las operaciones realizadas sobre los datos (acceso, modificación y eliminación). |
Cifrado de datos
| Cifrado de datos en tránsito | Generalmente la información en tránsito que circula por redes públicas se transmite siempre de forma segura dentro de lo posible y teniendo en cuenta los requisitos específicos de cada cliente. Los protocolos de servicios expuestos a Internet directamente son HTTP/HTTPS y SIP por TLS, habilitando únicamente las versiones más recientes y seguras. En cuanto al protocolo HTTPS, NUMINTEC realiza test de penetración de red para asegurarnos que los cifrados permitidos no son vulnerables a ataques y aplicamos las actualizaciones y configuraciones de seguridad necesarias. Las comunicaciones con servicios de terceros por necesidades de los clientes (integraciones, webservices) se realizan preferentemente utilizando HTTPS. La única excepción a esto son protocolos que por su diseño y antigüedad, no pueden ir encriptados, En ese caso es el cliente que utiliza esos protocolos para conectar al sistema de Numintec el que acepta el riesgo. No obstante ese riesgo es solo para el cliente y sus terminales, no afecctando a la infraestructura ni a otros clientes. Numintec no recomienda en ningún caso la utilización de protocolos sin seguridad. |
| Cifrado de llamadas | En cuanto al protocolo SIP por medio de TLS se utiliza SSLv3 para negociar el protocolo de cifrado más alto (TLS 1.2 o 1.3) que se utilizará para la comunicación de los teléfonos a nivel de señalización (orden de llamar, recibir llamadas, transferir, etc.). El audio, a elección del cliente, se puede transmitir forzado por protocolo seguro SRTP según el RFC3711. Se debe remarcar que estos cifrados son opcionales según las necesidades de los distintos clientes y sus tipos de terminal, ya que algunos terminales no soportan cifrado. En cuanto a los distintos cifrados soportados para el protocolo SIP, tener en cuenta que a pesar de que se permiten algunos cifrados débiles, los teléfonos negocian siempre el cifrado superior dentro de los compatibles, por lo que el grado de seguridad de la encriptación depende en parte del tipo de terminal utilizado. Podemos garantizar la encriptación en nuestro sistema para llamadas internas, pero lamentablemente no es posible para llamadas que provengan o se destinen a la PSTN en su tramo público, una vez que enviamos las llamadas al proveedor de servicio. Esto es debido a que los proveedores no soportan encriptación en las llamadas, ya que la red telefónica no está diseñada para ello. No obstante, en la medida de lo posible utilizamos canales encriptados (MPLS) para la comunicación con proveedores de telefonía, lo que añade una capa extra de seguridad al menosen el tramo entre nosotros y el proveedor que finalmente enruta la llamada a la PSTN. Se debe hacer notar que NUMINTEC dispone de la capacidad de desencriptar llamadas para poder proveer servicios al cliente a demanda (grabación o escucha) y para la intercepción legal de las comunicaciones, tal y como dicta la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, y la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. |
| Cifrado en almacenamiento | En cuanto a la encriptación de información almacenada en discos se utiliza dm- crypt luks ya que está bien soportada por el Kernel linux, o encriptación ZFS en los nuevos desarrollos. Esto evita que, en el muy improbable caso de robo de discos de los servidores ubicados en los centros de datos, se pueda utilizar la información contenida en ellos |
Disponibilidad y continuidad
| Disponibilidad | NUMINTEC realiza una supervisión continua de la disponibilidad de nuestros sistemas y servicios con el objetivo de garantizar el cumplimento de los objetivos de disponibilidad del servicio comprometidos. |
| Redundancias | NUMINTEC realiza una supervisión continua de la disponibilidad de nuestros sistemas y servicios con el objetivo de garantizar el cumplimento de los objetivos de disponibilidad del servicio comprometidos. |
| Copias de Seguridad | Se realizan copias de seguridad de forma automatizada. El proceso de ejecución de las copias está supervisado y en caso de que se produzca algún error en la realización de las copias el personal de sistemas recibirá una alerta e intervendrá para determinar la causa raíz del error y reanudar la ejecución de la copia. LA supervisión del estado semanal de backups está automatiuzada y su estado se almacena Se realizan copias de seguridad de: ● Máquinas virtuales: Copia de seguridad semanal. Los datos de las aplicaciones contenidos en las máquinas virtuales son incluidos en estas copias de seguridad. Adicionalmente se hacen copias de seguridad en la nube de AWS, con una retención de 4 versiones ● Base de datos InvoxContact: Disponemos de arquitectura principal/réplica en nuestra base de datos, dedicando una de estas réplicas a backup continuo. Los snapshots de réplica, que se realizan de forma completa cada 24H, se almacenan en el servicio que proporciona para ello AWS. ● Máquinas virtuales y servicios alojados en la nube de terceros: Se realizan snapshots diarios |
| Supervisión de las copias de seguridad | Se supervisa de forma continua la ejecución correcta de las copias de seguridad. El equipo de sistemas recibe una alerta si algo ha salido mal y la supervisión del estado semanal de backups está automatizada y su estado se almacena en la unidad compartida de sistemas, dentro de security -> registro_backup |
| Pruebas de recuperación | Se realizan pruebas periódicas de recuperación y verificación de información contenida en las copias de seguridad |
| Plan de continuidad | Se ha elaborado y probado un Plan de Continuidad para poder dar respuesta en plazos y condiciones adecuadas a aquellos incidentes que pudieran provocar una disrupción en los servicios contratados. |
| Procedimientos de recuperación ante desastres | Se dispone de procedimientos específicos de protección y recuperación ante amenazas que comprometan la integridad de la información, tal como los ataques por ransomware o fallos graves en la infraestructura tecnológica. El mas obvio es la recuperación de copias de seguridad desde S3 de AWS |
Seguridad física de los espacios de tratamiento
| Perímetro de seguridad física | Existe un perímetro de seguridad para proteger los recintos y dependencias donde se procesa o almacena información. |
| Control de acceso | Se han implantado controles de acceso físico a las dependencias donde se realiza el tratamiento de la información para asegurar que únicamente el personal autorizado tiene el acceso permitido. |
| Protección contras las amenazas externas y ambientales | Se han establecido las medidas necesarias para proteger las personas, equipos e instalaciones esenciales en caso desastres naturales, ataques maliciosos o incidentes, tales como incendio, inundaciones, fugas de agua, fallos en el aire acondicionado, etc. |
| Instalaciones de suministro | Se han establecido las medidas necesarias para garantizar la continuidad del suministro eléctrico en aquellas instalaciones esenciales. |
| Seguridad de los centros de tratamiento de datos | Los servicios de NUMINTEC se ejecutan en servidores ubicados en centros de datos de EVOLUTIO y BINAP que disponen de certificaciones ISO 27001. En consecuencia, los controles de seguridad física están delegadas en estos proveedores: https://www.bitnap.net/MBADATACENTERS-iso.pdf https://www.aenor.com/certificacion/certificado/?codigo=42390 Estos centros de datos están ubicados en España. También disponemos de servicios que se están ejecutando en proveedores en nube, a saber: ● Servicios de Numintec en AWS, siempre en la zona de Irlanda, dentro del EEE ● Servicios de IA, que se ejecutan en el proveedor Google Cloud, en este caso distinguimos entre dos zonas dependiendo de los clientes que tengan acceso al servicio: ○ Zona EEE -> Todos los datos y procesamiento de estos se realiza en los servidores de GClopud dentro del EEE, mayoritariamente en su centro de datos de Holanda, aunque es posible la ejecución de ciertos servicios dentro de otros centro de datos siempre dentro del EEE ○ Zona LATAM -> Todos los datos y procesamiento de los clientes de LAtam se realiza en los centros de datos de Google Cloud en esta región, Mayoritariamente en centros de datos de Sao Paulo, Brasil, aunque es posible delegar ejecuciones puntuales a otros centros de datos. |
| Seguridad de los proveedores de servicios IaaS y PaaS | Los proveedores de servicios IaaS y PaaS proporcionan los controles deseguridad física necesarios y garantizados mediante las certificaciones oportunas, tal como ISO 27001, SOC 2, ENS (nivel Alto), PCI-DSS, y otras En este caso, se contratan los servicios en centros de datos ubicados en la UE. |
2. SEGURIDAD EN LAS APLICACIONES
Políticas de desarrollo seguro
| Formación en seguridad | Periódicamente nuestros ingenieros y desarrolladores participan en programas de formación interna y externa relativa a principios de ingeniería de sistemas seguros, mejores prácticas de seguridad por diseño y desarrollo de código seguro. |
| Controles de seguridad en el código | NUMINTEC contempla todas las medidas de seguridad recomendadas por OWASP. Están incluyen las guías para proteger las aplicaciones con respecto las principales amenazas conocidas, tal como Injection, Broken Authentication, exposición de datos sensibles, Broken access control, Cross-Site Scripting XSS y Cross Site Request Forgery (CSRF) entre otros. Asimismo, el proceso de pruebas aplica todas aquellas verificaciones relevantes para nuestras aplicaciones incluidas en la guía de testing de la OWASP |
| QA | Durante el proceso de pruebas se revisa el código y se realizan pruebas detalladas antes de la puesta en producción de cualquier cambio. Asimismo, el proceso incluye la realización de pruebas de regresión para evitar impactos imprevistos debido a los cambios introducidos en el código, en las librerías y componentes utilizados y en los sistemas operativos donde se ejecutan las aplicaciones. El equipo de QA participa activamente en el ciclo de desarrollo, de forma que sus recomendaciones se contemplan desde el diseño. |
| Entornos separados | Los programadores trabajan en su equipo local sincronizando todo. Los entornos de prueba se conectan a bases de datos segregadas de producción, con datos ofuscados o ficticios. Los entornos de pruebas se encuentran en un entorno completamente separado del de producción, con servidores específicos para estos entornos. |
3. CARACTERÍSTICAS DE SEGURIDAD DEL PRODUCTO
Seguridad en la autenticación
| Opciones de autenticación | Para acceder a las aplicaciones web de la plataforma InvoxContact, los usuarios deben identificarse mediante sus propias credenciales de identificador de usuario y contraseña. En los casos en los que sea posible se utilizarán certificados SSL cliente firmados por la autoridad certificadora de Numintec (autofirmada) Adicionalmente, para los clientes que lo requieran se puede activar un proceso de autenticación en 2 fases (2FA) para proporcionar una capa adicional de protección a las cuentas con privilegios de administración. |
| Política de contraseñas | Las contraseñas solo pueden ser restablecidas por el usuario final con una dirección de correo electrónico activa Las políticas de contraseña implican el cumplimiento de un mínimo de requisitos de longitud y complejidad para asegurar que las contraseñas son robustas, así como políticas para forzar la renovación anual de las mismas. El mecanismo de asignación de contraseñas permite garantizar el secreto de las mismas, dado que el usuario puede establecer su propia contraseña a partir del primer acceso. Asimismo, el proceso de recuperación de contraseña garantiza que únicamente el receptor del correo configurado, puede conocer la nueva contraseña. |
| Gestión de cuentas de usuario | Una vez activado el panel del cliente, el administrador del cliente puede gestionar sus propias cuentas de usuario para dar de alta o revocar los accesos para los agentes y supervisores de la organización. Los nuevos usuarios reciben un correo electrónico con las instrucciones y las credenciales temporales que deben ser modificadas por el propio usuario en el primer acceso. El administrador del panel del cliente puede determinar los |
| Acceso de administrador | El administrador del panel del cliente puede determinar Los técnicos de soporte técnico de NUMINTEC pueden acceder al servicio del cliente mediante sus propias credenciales de usuario, por lo que para atender las incidencias no requieren que el usuario les comunique las suyas propios, de modo que se garantiza el secreto de la contraseña de los usuarios. |
| Restricción de acceso en la aplicación | El administrador del panel del cliente puede establecer a qué aplicaciones y servicios tiene acceso cada usuario, y asignar sedes, agentes y/o supervisores a un usuario. |
| Registros de auditoría | Se realiza un registro de auditoria de todos los accesos y modificaciones realizadas desde la aplicación web InvoxContact. Estos registros pueden ser consultados por el administrador del panel del cliente. |
| Almacenamiento seguro de contraseñas. | NUMINTEC sigue las mejores prácticas de almacenaje seguro de contraseñas. Las contraseñas nunca se guardan en formato legible, generándose un cifrado unidireccional de las mismas que incluye el uso de bits aleatorios (salt). El tránsito de contraseñas entre el navegador y el servidor se protege mediante la utilización del protocolo HTTPS que implica el cifrado de los datos de los formularios enviados. |
| Seguridad del API | Las aplicaciones cliente únicamente acceden a los servicios en el servidor mediante un HTTPS full REST-API. Para hacer cualquier llamada, el cliente requiere disponer de un API Key secreto y haber superado el flujo de autorización de peticiones al API. |
| Seguridad en la transmisión de datos | Preferentemente las comunicaciones a través de redes públicas con los servidores de NUMINTEC se cifran utilizando protocolos seguros. Esto garantiza que todo el tráfico de datos entre el cliente y NUMINTEC sea secreto durante el tránsito. Para las funciones en tiempo real, tal como el chat en tiempo real, NUMINTEC utiliza el protocolo websockets seguros como una alternativa HTTP complementaria segura y orientada a la transmisión. Para protocolos antiguos, como el soporte de terminales propiedad del cliente que no soportan seguridad, existe la posibilidad de utilizar protocolos sin encriptación para los servicios imprescindibles por parte de los clientes. En ese caso es el propio cliente el que acepta el riesgo de utilizar estos protocolos, y desde Numintec se recomienda encarecidamente al cliente en todos los casos que actualice el equipamiento a uno que utilice protocolos seguros. |
4. PROTECCIÓN DE DATOS PERSONALES
Medidas técnicas y organizativas
| Sistema de Gestión | NUMINTEC ha implantado un sistema de gestión de la de la privacidad de la información que permite asegurar el cumplimiento de las obligaciones legales, el adecuado tratamiento de los riesgos para los derechos y libertades de los usuarios y un proceso de revisión y mejora continua de las políticas aplicadas. |
| Responsabilidades | NUMINTEC ha nombrado un Responsable de Protección de Datos personales a cargo de la supervisión del Sistema de Protección de Datos Personales. Sus responsabilidades incluyen la definición de las políticas de protección de los datos personales, la verificación del cumplimiento de estas políticas, la evaluación de riesgos en el tratamiento de datos personales, la determinación de las medidas técnicas y organizativas necesarias para mitigar los riesgos, la supervisión del desempeño de las medidas implicadas y la evaluación de cumplimiento normativo. Asimismo, todo el personal de NUMINTEC se ha comprometido a cumplir y hacer cumplir las políticas y normativas de protección de datos de la empresa. |
| Obligaciones | Todo el personal de NUMINTEC firma un documento de carácter contractual mediante el que se obligan al cumplimiento de las políticas de protección de datos personales Dicho documento incluye la advertencia de que el incumplimiento de dichas obligaciones constituye una falta grave de indisciplina o desobediencia en el trabajo y, por tanto, será sancionable. |
| Formación y concienciación | Todos los empleados de NUMINTEC participan en sesiones de concienciación y formación en la protección del tratamiento de los datos personales. |
| Medidas técnicas | Todos los tratamientos de datos personales están protegidos mediante las mismas medidas técnicas que aplican a toda la información de la empresa de acuerdo con la certificación ISO27001. |
| Política de privacidad | En los “Términos y condiciones generales de contratación de los servicios prestados por Numintec Comunicaciones”, NUMINTEC ha incluido una cláusula en la que establece la política de privacidad para la protección de datos personales. Dicha política incluye la información sobre las finalidades y legitimidad de los tratamientos, las categorías de datos tratados, los criterios de conservación de los datos, las posibles comunicaciones o cesiones de datos, y el procedimiento para que los interesados puedan ejercer sus derechos. |
| Encargo de tratamiento | Mediante las cláusulas de encargo de tratamiento includas en el Acuerdo de Tratamiento de Datos, NUMINTEC asume su responsabilidad como encargado de tratamiento de los datos que trata por cuenta de nuestros clientes necesarios para prestar los servicios contratados. Por tanto, NUMINTEC da garantías para: – Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. – Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. – Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. |
| Comunicación y cesión de datos | Los datos que NUMINTEC tata como encargado de tratamiento de nuestros clientes no serán cedidos ni comunicados a terceras partes excepto a: – Empresas que, en calidad de encargados de tratamiento, nos prestan servicios relacionados con la actividad ordinaria y administrativa de la empresa tales como, entre otros, alojamiento de servicios web, servicios de aplicaciones de gestión en modalidad SaaS, archivo de ficheros en la nube y otros. – Operadores de redes de telecomunicaciones que prestan servicios necesarios para el encaminamiento de las llamadas realizadas por los clientes de nuestros servicios hasta sus destinatarios. – Entidades y organismos oficiales que lo requieran para atender las obligaciones con las Administraciones Públicas en los casos que así se requiera de acuerdo con la legislación vigente en cada momento y en su caso, igualmente a otros órganos como Fuerzas y Cuerpos de Seguridad del Estado y a los órganos Judiciales. |
| Transferencias internacionales de datos | La prestación de los servicios de NUMINTEC puede implicar el tratamiento de los datos personales por parte de empresas ubicadas en países fuera del Espacio Económico Europeo, en cuyo caso ser realiza únicamente cuando los países ofrecen un nivel adecuado de protección o, en el caso de entidades en los EE.UU. que estén certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016. En el caso de que el encaminamiento de las llamadas hasta su destinatario implique la transferencia de información a terceros países, esta estará amparada por los acuerdos de interconexión existentes en el marco de la legislación vigente en materia de telecomunicaciones. |
| Criterio de conservación | Tal como se especifica en las cláusulas de rescisión de contrato incluidas en los “Términos y condiciones generales de contratación de los servicios prestados por Numintec Comunicaciones”, transcurrido un plazo de noventa (90) días desde la desconexión o, dado el caso, el plazo estipulado en las condiciones del contrato, NUMINTEC elimina definitivamente los datos contenidos en nuestras bases de datos, excepto en aquellas circunstancias en que puedan derivarse obligaciones legales o responsabilidades de la ejecución de la prestación del servicio, en cuyo caso se podrá conservar una copia, con los datos debidamente bloqueados, hasta el cese de dichas responsabilidades u obligaciones. |
Privacidad por diseño y por defecto
| Minimización de la recogida de datos | Únicamente se recogen los datos estrictamente necesarios para la finalidad para la que deben ser tratados. |
| Limitación del plazo de conservación de los datos | NUMINTEC ha establecido procedimientos para limitar la retención de los datos y evitar su conservación más allá de los plazos establecidos. Los archivos temporales creados como resultado del tratamiento son eliminados cuando dejan de ser necesarios. |
| Limitación de finalidad | NUMINTEC ha definido mecanismos para evitar que la información que se trata por cuenta del responsable pueda ser utilizada para finalidades diferentes de las establecidas en este Acuerdo de Tratamiento de Datos (ATD). |
| Pseudonimización y cifrado de datos | Dado el caso, se aplicarían medidas de pseudonimización y cifrado de los datos, especialmente cuando la información tratada incluye datos especialmente sensibles. |
| Segregación de información sensible | El acceso a la información más sensible está segregado de forma que únicamente puedan ser consultados y tratados por personal específicamente autorizado. |
Ejercicio de los derecho de los interesados
| Procedimiento de respuesta | NUMINTEC ha definido un proceso formal para atender y asistir al responsable en la respuesta a las peticiones de ejercicio de los derechos de los interesados. |
| Comunicación de las peticiones de ejercicio de los derechos | NUMINTEC ha definido los canales para comunicar las peticiones de ejercicio de los derechos de los interesados al responsable del tratamiento. |
| Limitación de tratamiento | Existen mecanismos para limitar el tratamiento de los datos siempre que así sea requerido. |
Brechas de seguridad
| Gestión de brechas de seguridad en datos personales | El procedimiento permite identificar cuando se produce una violación de seguridad de los datos personales y contemplar la notificación al responsable de forma inmediata y sin dilación indebida acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para evaluar el impacto y determinar las causas y medidas correctivas aplicadas. |
| Asistencia al responsable en la notificación de brechas de seguridad | Está previsto asistir al responsable a realizar la notificación de la violación de la seguridad a la autoridad de supervisión y, en su caso, a los interesados, teniendo en cuenta la información a disposición del encargado. |
5. RELACIÓN CON PROVEEDORES
Medidas generales
| Política de seguridad de proveedores | Existe un proceso formal que permite valorar el cumplimiento de los requisitos de seguridad información que deben cumplir los proveedores que tratan información y datos personales. Únicamente se da acceso a la información a los proveedores cuando exista una necesidad legítima que justifique este acceso. |
| Confidencialidad | Todos nuestros proveedores deben firmar compromisos de confidencialidad y acuerdos de no divulgación (NDA) para proteger el secreto de la información de NUMINTEC y de nuestros clientes |
| Certificación y homologación | Todos los proveedores que presten servicios que implique el tratamiento de información de NUMINTEC y de nuestros clientes en sus instalaciones, deben disponer de certificaciones ISO 27001 o equivalentes. En el caso particular de proveedores de servicios e infraestructura de tratamiento de la información en la nube (SaaS, IaaS, PaaS), las certificaciones ISO27001 o equivalentes deben cubrir en su alcance los servicios prestados a NUMINTEC. En caso de no disponer de dichas certificaciones, el proceso de homologación implica la verificación de la existencia garantías equivalentes adecuadas a los riesgos identificados y, incluso, la posibilidad de responder a auditorias de terceras partes para verificar el desempeño de las garantías aportadas. |
| Evaluación de los servicios | NUMINTEC tiene implantado un proceso de evaluación de proveedores que implica la revisión periódica del cumplimiento de las garantías de nivel de servicio (SLA) acordadas y el cumplimiento de los requisitos de los servicios establecidos. |
| Aseguramiento de la cadena de suministro | La política de NUMINTEC es la de garantizar la continuidad de nuestros servicios mediante la diversificación y redundancia de proveedores. |
| Tratamiento de datos personales | NUMINTEC dispone de acuerdos de encargo de tratamiento de datos personales (DPA) con todos los proveedores que prestan servicios que implican el tratamiento de datos personales de los cuales son responsables NUMINTEC o nuestros clientes en sus instalaciones |
| Cese de servicio | NUMINTEC requiere de sus proveedores, y en especial aquellos que prestan servicios en la nube, que eliminen cualquier información que traten una vez se acuerda el cese de servicio. Esta política se aplica a toda la información que se procesa en virtud del servicio prestado, ya sea propio de NUMINTEC o de nuestros clientes. |
| Segregación de entornos | NUMINTEC requiere de sus proveedores, y en especial aquellos que prestan servicios en la nube, que garanticen la segregación de los entornos virtuales de procesamiento de la información, con garantías de estanqueidad del acceso a los diferentes entornos y de la capacidad de servicio. |
6. CUMPLIMIENTO NORMATIVO
Certificaciones
| Auditores | SGS, la entidad certificadora que nos audita mantiene acreditaciones oficiales que aseguran su fiabilidad entre las que destacan las que se refieren a OCA, ECA, Ministerio de Defensa, Ministerio de Sanidad y Consumo, Ministerio de Industria y Energía, Ministerio de Fomento, Consejo de Seguridad Nuclear y ENAC. |
| ISO 9001:2015 | NUMINTEC dispone de la certificación ISO 9001:2015. La certificación acredita nuestra política de calidad: https://www.numintec.com/politica-de-calidad-y-seguridad-de-la-informacion/ |
| ISO 27001:2013 | NUMINTEC dispone de la certificación ISO 27001:2013 Esta certificación acredita nuestra política de seguridad de la información: https://www.numintec.com/politica-de-calidad-y-seguridad-de-la-informacion/ |
| ISO 27017:2014 | NUMINTEC es conforme con la ISO 27017:2014. |
Cumplimiento legal
| Protección de datos personales | NUMINTEC cumple la legislación de protección de datos de acuerdo con: ● Reglamento (UE) 2016/679 de Protección de Datos Personales (RGPD) ● Ley 3/2018, de 5 de diciembre de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales (LOPD-GDD). La información relativa a los tratamientos de datos que NUMINTEC lleva a cabo se puede encontrar en nuestra política de privacidad: https://www.numintec.com/politica-de-privacidad/ |
| Operador de Telecomunicaciones | NUMINTEC está sujeto a la legislación que le aplica como operador de telecomunicaciones: ● Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LGT). ● Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones ● Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones Entre otros aspectos, el cumplimiento de esta legislación implica que NUMINTEC está obligado a conservar y ceder a los agentes facultados los datos de origen, destino, día, hora y duración de las llamadas, entre otros. |
| Propiedad intelectual | NUMINTEC está sujeto a la legislación de propiedad intelectual: ● Ley 2/2019, de 1 de marzo En el marco de esta ley, NUMINTEC garantiza que ha establecido políticas para garantizar la protección de los derechos intelectuales de terceros, respetando los términos de las licencias de uso para todo el software que utiliza para prestar sus servicios. |
POLITICA DE SEGURIDAD DE LOS SERVICIOS EN LA NUBE DC- 037 27/09/2024 02
Dirección Responsable Seguridad de la Información