Seguridad y confianza

Una relación de confianza comienza con la transparencia en seguridad.

Para tu empresa son retos molestos.
Para la nuestra, retos cumplidos.

Desde GlobalSuite Solutions creemos en la seguridad como elemento diferenciador en la búsqueda de la confianza por parte de nuestros clientes. Es por eso por lo que nuestros servicios y procesos han nacido teniendo en cuenta este requisito desde su diseño.

Seguridad física

Disponemos de controles en nuestros centros de trabajo que impiden el acceso por parte de personal no autorizado, tanto automatizados como presenciales. Esto nos permite prestar nuestros servicios de manera cercana sin dejar de lado la seguridad.

El acceso por parte de personal ajeno a la organización se realiza bajo supervisión interna, proporcionando un acceso limitado en relación con la finalidad a la que ingresaron en nuestras instalaciones.

En todos nuestros centros disponemos de controles físicos que permiten la detección de anomalías (sistemas CCTV, alarmas, etc.) y reaccionar a ellas con rapidez.

Para lograr un buen servicio, GlobalSuite® utiliza tres centros de procesamiento de datos deslocalizados que permiten la prestación del servicio ante la indisponibilidad en alguno de ellos.

Estos centros de datos son reconocidos internacionalmente por la calidad y seguridad en la prestación de sus servicios, disponiendo de distintas certificaciones que les exigen disponer de controles de primer nivel para el acceso físico para el cumplimiento de sus compromisos de garantizar la seguridad de la información que en ellos se alberga.

Las medidas de seguridad implementadas van desde rigurosos controles de acceso únicamente por personal autorizado y en todo momento acompañados por personal interno de la organización, hasta una gestión óptima de las condiciones medioambientales y de suministro.

Todos los registros de acceso, incluyendo personal autorizado, se encontrarán disponibles en cualquier momento y se tratará internamente como un incidente de seguridad dentro de GlobalSuite Solutions para identificar la causa raíz y evitar su futura ocurrencia.

Seguridad de infraestructura

Nuestra estrategia de seguridad en la prestación de los servicios sigue los principios de defensa en profundidad, aplicando controles en cada una de las capas que dan como resultado una infraestructura robusta sobre la que se apoya GlobalSuite®.

Siguiendo este principio, en primera instancia, además de los controles propuestos por los distintos proveedores de servicio que nos conectan a Internet, se disponen de Firewalls perimetrales para evitar accesos no autorizados, permitiendo además la segmentación de los distintos componentes en redes independientes, mejorando de esta manera la eficiencia y la seguridad de la información.

Nuestra infraestructura se encuentra configurada en alta disponibilidad, para asegurar la disponibilidad del servicio ante averías de origen físico o lógico. De la misma manera se dispone de una monitorización activa de todos los elementos de red para asegurar su correcto funcionamiento y la alerta ante posibles actividades sospechosas o anomalías.

Como medida de protección adicional la arquitectura cuenta con servicios que permiten la limpieza, enrutamiento de red y filtrado para gestionar ataques desde capas anteriores.

Nuestra red de comunicaciones dispone de sistemas de prevención y detección de intrusos, con sondas tanto a nivel de red como a nivel de host (NIDS y HIDS, respectivamente) . Esta arquitectura nos permite identificar los eventos anómalos tanto en la red como en los servidores utilizados para la prestación de nuestro servicio y actuar de forma automática ante eventos maliciosos.

Además, el aplicativo dispone de un Firewall a nivel de aplicación, o WAF por sus siglas en inglés, que permite reaccionar ante aquellas peticiones consideradas como maliciosas ante ataques conocidos o basados en comportamiento.

La infraestructura que soporta GlobalSuite® tiene implementados mecanismos para la detección y prevención de intrusiones, establecidos a partir de una arquitectura de IDSs en Host y Red (HIDS e HIPS).

Todo esto gestionado de manera centralizada a través de nuestro sistema de gestión de información y eventos de seguridad, o SIEM por sus siglas en Inglés, que nos permite monitorizar y correlar los eventos producidos por nuestros agentes, notificando de forma oportuna y visualizando a tiempo real las acciones.

Seguridad de los datos

La plataforma junto con todas las funcionalidades desarrolladas para GlobalSuite® son la consecuencia de un proceso de desarrollo que tiene en cuenta la seguridad tanto en la concepción del producto como en su funcionalidad.

La seguridad se encuentra presente en cada una de las etapas del ciclo de desarrollo y diseño de sistemas, desde la definición de los requisitos hasta las validaciones realizadas, de manera interna y externa, en la etapa de producción.

Ejemplo de ello es la integración de las recomendaciones de la guía OWASP en las distintas etapas que componen el ciclo mencionado, asegurando que el producto final no contenga vulnerabilidades conocidas.

La segregación de nuestra infraestructura nos permite también dividir el almacenamiento de manera lógica de los datos de nuestros clientes, ofreciendo una medida de protección adicional en el acceso a los mismos.

Este nivel de aislamiento nos permite asegurar la confidencialidad de la información de cada uno de los clientes, evitando accesos no autorizados.

La herramienta dispone de un cifrado de los datos en reposo, protegiendo los datos de los clientes a través de las redes públicas mediante protocolos de cifrado que impiden su visualización.

Todas las conexiones efectuadas a GlobalSuite® disponen de cifrado utilizando el protocolo TLS 1.2 y TLS 1.3, proporcionando un nivel más de seguridad en la capa de transporte y siendo imposible negociar una versión anterior a éste.

Este nivel de protección es implementado en todas las conexiones, incluyendo el acceso Web y las APIs utilizadas por la herramienta.

La privacidad de tus datos es importante para nosotros, y también sabemos lo importante que es para ti. Es por eso que consideramos vital la transparencia sobre nuestro proceso de recopilación de los datos, el uso de los mismos y si podríamos compartirlos.

En GlobalSUITE® no accedemos a datos personales ni los recopilamos, almacenamos o procesamos con ningún fin. Simplemente los utilizamos para ofrecerte el mejor servicio y poder contactar contigo en caso de que lo necesites. Puedes ver más en nuestra política de privacidad.

Los proveedores utilizados para la prestación del servicio cumplen con las mismas condiciones de seguridad que nosotros, implementando medidas de seguridad superiores o equivalentes a las exigidas.

Tras la finalización de la relación contractual de la organización con sus clientes, cumplimiento de plazos de retención de datos o tras una petición por parte del cliente se realizará una destrucción segura de la información.

Seguridad operativa

La organización cuenta con un proceso de gestión de vulnerabilidades que permite la implementación de los diferentes cambios comunicados por los fabricantes, así como fallos de configuración que pudieran conllevar un problema de seguridad.

Este proceso tiene varias actividades de entrada, como la detección de posibles vulnerabilidades por la parte de nuestro equipo interno, de un equipo externo que realiza auditorías periódicas o por los propios fabricantes utilizando los canales de comunicación dispuestos a tal fin.

Estas revisiones son gestionadas internamente, analizando además de manera activa todos los informes de seguridad externos y noticias o comunicaciones de grupos de interés que pudieran afectar a la infraestructura o a la correcta prestación del servicio.

Todas las vulnerabilidades detectadas, independientemente del origen de estas, son priorizadas, identificada su causa raíz, puesta una medida de contingencia con la mayor celeridad para evitar la posibilidad de vulnerabilidad, y por último, resueltas.

Todos los datos disponen de un respaldo que garantiza su disponibilidad. Este proceso de respaldo incluye distintas estrategias y políticas que abarcan todo el ciclo del dato, desde su creación hasta su destrucción

Nuestra política de replicación incluye el almacenamiento en centros deslocalizados, con el fin de impedir la pérdida de disponibilidad del mismo ante un incidente que conlleve la imposibilidad del prestar el servicio desde el CPD principal. Nuestra política de backups tiene consigo asociadas actividades que tienen como propósito asegurar la validación y correcta restauración de la información de manera periódica, eliminando así posibles errores en el proceso de replicación.

Con el fin de prevenir la pérdida de confidencialidad de los datos de respaldo, todos ellos se encuentran cifrados utilizando estándares seguros, tanto en origen como en destino.

La organización cuenta con un sistema de gestión de continuidad de negocio, SGCN por sus siglas, certificada en ISO 22301, auditado de manera periódica y asegurando así la completa actualización de los distintos componentes que lo forman, como son el plan de recuperación ante desastres y el plan de continuidad de negocio.

Cada uno de los tres CPDs que componen la infraestructura de GlobalSuite® cuenta con sistemas de respaldo de alimentación, control de temperatura, prevención de incendios; disponiendo de distintas certificaciones que evidencian el correcto estado de las medidas de seguridad, siendo auditadas de manera periódica.

Nuestro proceso de continuidad de negocio también da cabida a los servicios internos para el correcto funcionamiento de GlobalSUITE®, logrando una resiliencia completa del servicio.

La puesta en producción de un servidor para ejecutar actividades dentro de la organización dispone de una etapa previa de “Hardering” que nos permite una reducción de vulnerabilidades derivadas de las configuraciones por defecto.

Este proceso de Hardering se encuentra en continua evolución, en paralelo con los nuevos servicios y vulnerabilidades de la industria, no obstante, siempre guiados por las buenas prácticas de las guías CIS (Center for Internet Security).

Certificaciones

Nuestro firme convencimiento por la seguridad y confianza ha cristalizado en disponer de un sistema de gestión integrado que permita el gobierno de nuestros procesos y que está certificado en ISO 27001, ISO 22301, ISO 9001, ISO 20000, ISO 37001, UNE 19601, ENS, entre otros. Este marco nos proporciona las herramientas necesarias para abordar los objetivos de la organización, gestionar los riesgos y definir los controles necesarios.

GDPR Compliance
Data center – Localizado en la Unión Europea
Empecemos un nuevo proyecto juntos