Seguridad

Descripción general

Rock Content respeta la privacidad de sus clientes por lo que mantener sus datos protegidos en todo momento es nuestra máxima prioridad.

Esta política de seguridad proporciona una descripción general de alto nivel de las prácticas de seguridad implementadas para lograr ese objetivo.

¿Tienes preguntas o comentarios? No dudes en comunicarte con nosotros enviando un mensaje a [email protected]. Puede acceder a nuestro security.txt aquí.

Equipo de seguridad dedicado

Nuestro equipo cuenta con expertos dedicados a mejorar la seguridad de nuestra organización. En este sentido, están capacitados para responder a incidentes de seguridad y están disponibles las 24 horas del día, los 7 días de la semana.

Contamos con un Oficial de Protección de Datos (DPO) dedicado a satisfacer las demandas de seguridad y privacidad y nuestros líderes Técnicos y Líderes de Ingeniería están comprometidos con las mejores prácticas de seguridad.

Infraestructura de nube

Todos nuestros servicios se llevan a cabo en la nube. Por lo tanto, no alojamos ni ejecutamos nuestros propios enrutadores, equilibradores de carga, servidores DNS o servidores físicos. 

Nuestro servicio se basa en Amazon Web Services dado que proporciona fuertes medidas de seguridad para proteger nuestra infraestructura y cumple con la mayoría de las certificaciones. 

Puedes leer más sobre sus prácticas aquí:

Seguridad del centro de datos

Localizado en Estados Unidos, el centro de datos de Rock Content es una instalación compatible con Tier IV, PCI DSS e ISO 27001 cuyos servidores están físicamente separados de los centros de datos de otros clientes.

Las instalaciones del centro de datos están protegidas 24 horas al día, 7 días a la semana con diferentes medidas de seguridad (guardias, CCTV, control de acceso electrónico, etc.). Asimismo, se cuenta con monitoreo y alerta para brechas de seguridad, energía, HVAC y temperatura.

Supervisión y protección de seguridad a nivel de red

Nuestra arquitectura de seguridad de red consta de múltiples zonas de seguridad. Monitoreamos y protegemos nuestra red para asegurarnos de que no se realice ningún acceso no autorizado. Logramos esto mediante el uso de:

  • Una nube privada virtual (VPC), un host bastión o VPN con listas de control de acceso a la red (ACL) y sin direcciones IP públicas.
  • Un firewall que monitorea y controla el tráfico de red entrante y saliente.
  • Una solución de Detección y/ o Prevención de Intrusiones (IDS / IPS) que monitorea y bloquea posibles paquetes maliciosos.
  • Un Filtro de direcciones IP.
  • Un Firewall de Aplicaciones Web (WAF) proporcionado por CloudFlare y StackPath.

Protección DDoS

En Rock Content, usamos servicios de protección de Denegación de Servicio Distribuido (DDoS) impulsados ​​por una solución líder en la industria.

Cifrado de datos

Cifrado en tránsito: Todos los datos enviados hacia o desde nuestra infraestructura se cifran en tránsito a través de las mejores prácticas del sector utilizando Transport Layer Security (TLS). Puedes ver nuestro informe SSLLabs ingresando aquí.

Cifrado en reposo: Todos los datos de nuestros usuarios (incluidas las contraseñas) se cifran mediante algoritmos de cifrado a prueba de hackers en la base de datos.

Retención y eliminación de datos

Conservamos tus datos de uso durante un período de 90 días después de tu prueba. Después de este período, se eliminan por completo del panel de control y del servidor.

Los usuarios pueden solicitar la eliminación de los datos de uso poniéndose en contacto con el servicio de asistencia. Aprende más sobre nuestra configuración de privacidad en: https://rockcontentespana.com/es/legal/politica-de-privacidad/.

Continuidad comercial y recuperación ante siniestros

Realizamos copias de seguridad de todos nuestros activos críticos e intentamos restaurar el backup con regularidad para garantizar una recuperación rápida en caso de siniestros. Todas nuestras copias de seguridad están encriptadas.

Monitoreo de seguridad de aplicaciones

  • Implementamos una solución de monitoreo de protección para obtener visibilidad acerca de la seguridad de nuestras aplicaciones, identificar ataques y responder rápidamente ante una violación de datos.
  • Adoptamos tecnologías para monitorear excepciones, registros y detectar anomalías en nuestras aplicaciones.
  • Recopilamos y almacenamos registros para aportar un seguimiento de auditoría de la actividad de nuestras aplicaciones.
  • Usamos monitoreo como el Open Tracing (rastreo abierto) en nuestros microservicios.

Protección de seguridad de la aplicación

  • Usamos un sistema de protección en tiempo de ejecución que identifica y bloquea OWASP Top 10 y ataques de lógica corporativa en tiempo real.
  • Contamos con encabezados de seguridad para proteger a nuestros usuarios de ataques. Puedes comprobar nuestra calificación en este escáner de seguridad.
  • Utilizamos soluciones de automatización de seguridad que detectan y responden automáticamente a las amenazas dirigidas a nuestras aplicaciones.

Desarrollo seguro

Desarrollamos siguiendo las mejores prácticas y marcos de seguridad (OWASP Top 10, SANS Top 25). Para eso, ponemos en marcha diferentes acciones que contribuyan a la obtención del más alto nivel de seguridad en nuestro software:

  • Los desarrolladores participan de periódicas capacitaciones en seguridad para aprender acerca de las vulnerabilidades y amenazas más comunes.
  • Revisamos nuestro código en busca de vulnerabilidades de seguridad.
  • Usamos software de evaluación de vulnerabilidades para pentest (pruebas de intrusión) no humanos.
  • Actualizamos nuestras dependencias con regularidad y nos aseguramos de que no tenga vulnerabilidades conocidas.
  • Usamos Pruebas de Seguridad de Aplicaciones Estáticas (SAST) para detectar vulnerabilidades de seguridad básicas en nuestro código base.
  • Adoptamos Pruebas de Seguridad de Aplicaciones Dinámicas (DAST) para escanear nuestras aplicaciones.
  • Anualmente, contamos con expertos tercerizados para realizar pruebas de intrusión en nuestras aplicaciones.

Divulgación responsable

Estimulamos que todos los que practican la divulgación responsable y cumplen con nuestras políticas y términos de servicio participen en nuestro Bug Bounty Program o programa de recompensa de errores.

Por favor, evita las pruebas automatizadas y solo realiza pruebas de seguridad con tus propios datos. No reveles ninguna información sobre las vulnerabilidades hasta que las solucionemos. Las recompensas se otorgan a nuestro criterio en función de la importancia de la vulnerabilidad informada.

Puedes informar las vulnerabilidades contactando [email protected]. Por favor, incluye una prueba de concepto. Responderemos a tu mensaje lo antes posible y no emprenderemos acciones legales si sigues las reglas.

Cobertura:

  • * .rockcontent.com

Exclusiones:

  • rockcontent.com/blog

  • docs.rockcontent.com

  • status.rockcontent.com

  • support.rockcontent.com

Se aceptan las siguientes vulnerabilidades:

  • Secuencias de comandos en sitios cruzados (XSS)

  • Redireccionamiento abierto

  • Falsificación de solicitudes en sitios cruzados (CSRF)

  • Inclusión de comando/ archivo/ URL

  • Problemas de autenticación

  • Ejecución de código

  • Inyecciones de código o base de datos

Este programa de recompensas por errores NO incluye:

  • Cierre de sesión CSRF.

  • Enumeraciones de cuenta/ correo electrónico.

  • Denegación de Servicio (DoS).

  • Ataques que pueden dañar la confiabilidad/ integridad de nuestro negocio.

  • Ataques de spam.

  • Clickjacking en páginas sin autenticación y/ o cambios de estado sensibles.

  • Avisos de contenido mixto.

  • Falta de DNSSEC.

  • Falsificación/ inyección de contenido de texto.

  • Ataques cronometrados.

  • Ingeniería social.

  • Phishing.

  • Cookies inseguras para cookies no sensibles o cookies de terceros.

  • Vulnerabilidades que requieren una interacción del usuario extremadamente improbable.

  • Exploits que requieren acceso físico a la máquina de un usuario.

Cómo informar una vulnerabilidad

Por favor, envíanos un correo electrónico a: [email protected].

Divulgación responsable: Nos gustaría mantener Rock Content segura y protegida para todos. Por esta razón, si has descubierto una vulnerabilidad de seguridad, agradeceríamos enormemente tu ayuda enviando los detalles acerca de tu experiencia a nuestro equipo de expertos.

Revelar públicamente una vulnerabilidad puede poner en riesgo a toda la comunidad de Rock Content. Si has descubierto una posible vulnerabilidad, cuéntanos tu experiencia enviando un correo electrónico a [email protected].

Trabajaremos junto a ti para evaluar y comprender el origen/ alcance del problema y solucionar completamente cualquier inquietud. Todos los correos electrónicos se envían de inmediato a nuestro personal de ingeniería para garantizar que los problemas se resuelvan tan pronto como sea posible. 

De la misma manera, todos los correos electrónicos de seguridad se tratan con la más alta prioridad, ya que la seguridad de nuestro servicio es nuestra principal preocupación.

Protección del usuario

Autenticación de 2 factores

Proporcionamos un mecanismo de autenticación de 2 factores para proteger a nuestros usuarios de los ataques de apropiación de cuentas.

Protección de adquisición de cuenta

Al monitorear y bloquear los ataques de fuerza bruta, protegemos a nuestros usuarios contra las filtraciones de datos.

Inicio de sesión único

El inicio de sesión único (SSO) está disponible utilizando tu cuenta en Google.

Control de acceso basado en roles

El control de acceso basado en roles (RBAC) se ofrece en todas nuestras cuentas y permite que nuestros usuarios definan roles y permisos.

Compliance

SOC2

Nuestra empresa cuenta con la certificación SOC 2 Tipo 2, lo que significa que un auditor independiente ha evaluado nuestro producto, infraestructura y políticas y certifica que cumplimos o superamos los niveles específicos de controles y procesos para la seguridad de los datos del usuario.

Escudo de privacidad entre UE-EE.UU. y Suiza-EE.UU

Rock Content cumple con el Privacy Shield Framework o marco del Escudo de Privacidad de UE-EE.UU. y Suiza-EE.UU para regular la privacidad de los datos entre la Unión Europea y los Estados Unidos.

Privacidad (GDPR / LGPD)

Cumplimos con el Reglamento General de Protección de Datos (GDPR) y la Lei Geral de Protección de Dados (LGPD). El propósito de GDPR/ LGPD es proteger la información privada de los ciudadanos de la UE/ brasileños y darles más control sobre sus datos personales. Comunícate para obtener más detalles sobre cómo cumplimos con las normativas GDPR/ LGPD.

Información de pago

Todo el procesamiento de los instrumentos de pago se subcontrata de forma segura a Stripe, que está certificado como proveedor de servicios de nivel 1 de PCI. No recopilamos ninguna información de pago y, por lo tanto, no estamos sujetos a las obligaciones de PCI.

Acceso de empleados

  • Nuestro estricto procedimiento interno evita que cualquier empleado o administrador tenga acceso a los datos del usuario. Se pueden hacer determinadas excepciones para el soporte al cliente.
  • Al unirse a la empresa, los nuevos colaboradores de Rock Content firman un acuerdo de confidencialidad y no divulgación con la intención de proteger la información confidencial de nuestros clientes.